Вчера Adobe выпустила более 80 патчей для Acrobat, Reader и Flash Player, в том числе для ряда критических уязвимостей, эксплуатация которых позволяет захватить контроль над системой.

Подавляющее большинство закрываемых уязвимостей (71) было обнаружено в платформах Acrobat и Reader. Согласно бюллетеню, это в основном баги нарушения целостности памяти, use-after-free (использование освобожденной памяти) и переполнение буфера; все они влекут исполнение кода. Пропатчены также обход ограничений на исполнение JavaScript API и еще один обход защиты, возможность которого присутствовала в названном ПО. Пользователям Acrobat DC и Reader DC, работающих на Windows и Mac, рекомендуется перейти на версию 15.006.30243, Acrobat/Reader XI — на 11.0.18.

С июля, когда Adobe залатала 38 брешей в Acrobat и Reader, это первые патчи для данных продуктов. Новый выпуск также оказался для них самым объемным за последние пять месяцев, хотя и не превысил майский рекорд: тогда в Acrobat/Reader было закрыто 93 уязвимости.

Разработчик также устранил 12 уязвимостей во Flash, работающих на Chrome, Microsoft Edge, IE 11 и Linux. Девять брешей представляют собой баги порчи памяти, четыре из них обнаружил Тао Иан (Tao Yan), он же @Ga1ois, из Palo Alto Networks. Остальные уязвимости, закрытые во Flash, — это обход защиты, а также путаница типов данных и use-after-free, чреватые исполнением кода.

Заметим, новая порция плановых патчей для Flash гораздо скромнее предыдущей: в сентябре в этом продукте было закрыто 26 уязвимостей, большинство которых грозило исполнением кода.

Пользуясь случаем, Adobe обновила десктопное приложение Creative Cloud, используемое подписчиками одноименного облачного сервиса для управления своими программами и службами. Новый патч устраняет уязвимость типа unquoted search path, которая вызвана некорректностью парсинга пути к каталогу и чревата исполнением кода. Успешный эксплойт, согласно бюллетеню, открывает доступ к ресурсам, размещенным по родительскому пути каталога, и, следовательно, позволяет повысить локальные привилегии.

Данных об itw-эксплойте каких-либо из закрываемых брешей у Adobe нет, однако разработчик настоятельно рекомендует обновить на местах все поименованные продукты.

Категории: Главное, Уязвимости