В рамках февральского «вторника патчей» компания Adobe устранила 75 уязвимостей. Из них 44 оценены как критические, в том числе брешь нулевого дня в Reader, для которой сторонние специалисты в понедельник предложили временное решение.

Уязвимость 0-day зарегистрирована под идентификатором CVE 2019-7089. Она позволяет спровоцировать автозагрузку таблицы стилей для XML-структур в документе PDF и украсть NTLM-хеши, передаваемые в SMB-запросе на удаленный сервер.

Еще две критические бреши в Adobe Acrobat/Reader (CVE-2018-19725 и CVE-2019-7041) открывают возможность для повышения привилегий в обход защиты. Оба бага обнаружил участник проекта Zero Day Initiative Абдул Азиз Харири (Abdul-Aziz Hariri). «Уязвимость CVE-2018-19725 была частично пропатчена в январе, а теперь Adobe закрыла ее полностью, — отметил исследователь в комментарии для Threatpost. — CVE-2019-7041 — абсолютно новый баг, он позволяет обойти ограничения на доступ к JavaScript API».

Остальные критические уязвимости в Acrobat и Reader грозят исполнением вредоносного кода — за исключением бреши целочисленного переполнения (CVE-2019-7030), которую можно использовать для раскрытия конфиденциальной информации. Согласно бюллетеню Adobe, причины появления RCE-брешей различны — ошибки буферизации данных, возможность записи за границами буфера, путаница типов данных, использование освобожденной памяти.

Суммарно в Acrobat/Reader закрыли 71 уязвимость; 43 бреши признаны критическими. Обновлению подлежат работающие на Windows и macOS программы Acrobat DC и Acrobat Reader DC Continuous (2019.010.20069 и более ранних версий), Acrobat и Acrobat Reader Classic 2017 (версий 2017.011.30113 и ниже); Acrobat DC и Reader DC Classic 2015 (2015.006.30464 и ниже).

Adobe также пропатчила ColdFusion; в коммерческой платформе для разработки веб-приложений объявились две серьезные проблемы. Критическая уязвимость CVE-2019-7091 определена как десериализация недоверенных данных, которая позволяет исполнить произвольный код. XSS-баг CVE-2019-7092 грозит раскрытием информации и признан существенным. Бреши присутствуют в ColdFusion 2018 (Update 1 и ниже), ColdFusion 2016 (Update 7 и ниже) и ColdFusion 11 (Update 15 и ниже).

Важный патч получило приложение Creative Cloud для Windows (версии 4.7.0.400 и более ранних). Его инсталлятор загружал DLL-библиотеки небезопасным способом (CVE-2019-7093), что позволяло злоумышленникам угнать DLL и повысить привилегии в системе.

В Adobe Flash Player закрыта лишь одна уязвимость — CVE-2019-7090. Согласно бюллетеню, она вызвана возможностью чтения за пределами выделенного в памяти буфера; в данном случае подобная ошибка грозит раскрытием информации в контексте текущего пользователя. Тем, у кого установлен Flash 32.0.0.114 и более ранних версий, рекомендуется обновить продукт на всех платформах.

По данным Adobe, ни одна из закрываемых уязвимостей в атаках пока не используется.

Категории: Главное, Уязвимости