Вчера Adobe выпустила патчи для семи уязвимостей во Flash Player; шесть из них могут повлечь исполнение кода. Данных об активной эксплуатации какой-либо из новых уязвимостей у разработчика нет, однако пользователям настоятельно рекомендуется обновить Flash на Windows, Macintosh, Linux и в Chrome.

Согласно бюллетеню Adobe, уязвимостям подвержены Flash версии 24.0.0.221 и более ранних. Шесть новых багов в этом продукте грозят исполнением кода через переполнение буфера, порчу памяти или использование освобожденной памяти. Седьмая брешь, обнаруженная исследователями из Наньянского технологического университета в Сингапуре, кроется в генераторе случайных чисел и в случае эксплойта влечет раскрытие информации.

Обновление 25.0.0.127 доступно по обычным каналам. Пользователи Chrome, Edge и Internet Explorer 11 получат его автоматически. Пользователям Flash Player Desktop Runtime для Windows, Macintosh и Linux рекомендуется воспользоваться механизмом обновления, предусмотренным этой программой.

Одновременно Adobe обновила Shockwave Player для Windows, устранив в этом плагине уязвимость повышения привилегий, крывшуюся в пути поиска каталога. Обновление 12.2.8.198 с соответствующим патчем уже доступно в центре загрузок продукта.

В текущем году Adobe пока строго придерживается расписания, выпуская заплатки. В январе разработчик закрыл 13 уязвимостей, в том числе 12 RCE. Февральский «вторник патчей» устранил еще 13 брешей, влекущих исполнение кода. Вполне вероятно, что результаты стартующего сегодня конкурса Pwn2Own в рамках конференции CanSecWest в Ванкувере заставят Adobe отступить от привычного регламента и выпустить экстренные патчи.

На прошлогоднем Pwn2Own хакерам в первый же день состязания удалось успешно скомпрометировать Flash и получить за это премию в $13 тыс. Другие участники успешно воспользовались путаницей типов данных во Flash в сочетании с брешью в ядре Windows. Еще одна команда сумела проэксплуатировать уязвимость выхода за пределы памяти во Flash в комбинации с утечкой информации в ядре Windows. Ныне участники Pwn2Own смогут выиграть $50 тыс., атакуя Flash в Microsoft Edge, и еще $30 тыс., если посредством эксплойта добьются исполнения кода на уровне SYSTEM.

Категории: Главное, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *