Апрельский набор патчей Adobe совокупно устраняет 43 бреши в восьми разных продуктах, в том числе Acrobat Reader, Flash Player и Shockwave. Оценку «критический» получили 24 бага, позволяющие удаленно выполнить любой код в системе.

Наибольшее количество уязвимостей закрыто в программах для работы с PDF-файлами — Acrobat и Acrobat Reader. Половину из них составляют RCE-бреши, признанные критическими. В их основе лежат типовые ошибки: чтение за пределами выделенного буфера (out-of-bounds read), путаница типов данных, использование освобожденной памяти (use-after-free), переполнение буфера в куче.

«Патч для Acrobat устраняет 21 уязвимость, — пишет Дастин Чайлдс (Dustin Childs), комментируя апрельский набор обновлений в блоге Zero-Day Initiative. — Самая опасная из них позволяет захватить контроль над затронутой системой».

Уязвимостям подвержены Acrobat DC / Acrobat Reader DC версий 2019.010.20098 и ниже, Acrobat / Acrobat Reader 2017 (до сборки 2017.011.30127 включительно) и все Acrobat DC / Acrobat Reader DC Classic 2015, работающие на Windows или macOS.

Adobe также пропатчила семь RCE-багов в Windows-версии Shockwave Player. Наличие уязвимостей подтверждено для всех прежних выпусков продукта; пользователям рекомендуется установить обновление 12.3.5.205.  Это последние патчи для браузерной мультимедиа-платформы: срок ее поддержки истек.

В Adobe Flash исправлена критическая ошибка use-after-free, грозящая исполнением вредоносного кода (CVE-2019-7096), и менее опасная out-of-bounds read, которая может привести к раскрытию конфиденциальных данных (CVE-2019-7108). Разработчик также устранил два критических бага в macOS-приложении Adobe XD и один — в программе компьютерной верстки InDesign.

В организационной утилите Adobe Bridge CC пропатчено восемь уязвимостей, в том числе два критических бага CVE-2019-7130 и CVE-2019-7132, позволяющих удаленно выполнить произвольный код в контексте текущего пользователя. По одному патчу получили также Adobe Experience Manager Forms и Adobe Dreamweaver. В первом случае уязвимость оценена как существенная, во втором — как умеренно опасная.

Категории: Главное, Уязвимости