Похоже, ежемесячное обновление Adobe Flash становится доброй традицией. Вышедшие в минувший вторник версии Flash Player содержат патчи для критических уязвимостей.

В сравнении с прежними выпусками текущая порция патчей довольно скромна: она латает «всего лишь» 17 брешей. Напомним, с июля, когда были запатчены два 0-day-бага, преданных гласности в результате взлома Hacking Team, компания Adobe устранила более 80 уязвимостей в многострадальном продукте, включая CVE-2015-7645, закрытую в минувшем месяце в экстренном порядке.

Все пропатченные ныне бреши открывают возможность для удаленного исполнения кода. Публичных эксплойтов для них, по данным Adobe, пока нет.

Кроме десктопной версии Flash для Windows и Mac OS X разработчик обновил Flash-плагины для Internet Explorer 11 и Microsoft Edge, Flash для Linux и продукты линейки Adobe Air для Windows, iOS и Android.

Подавляющее большинство закрытых уязвимостей, а именно 15, представляют собой баги use-after-free, чреватые выполнением произвольного кода. Еще одна была привнесена некорректностью проверки на принадлежность к типу Object (type confusion — путаница типов данных) и открывала возможность для исполнения кода. Семнадцатый по счету баг — обход средств защиты, его эксплойт позволял атакующему получать права текущего пользователя и записывать произвольные данные в файловую систему пользователя.

Ноябрьский набор патчей от Adobe оказался легким и в сравнении с предыдущим плановым выпуском. В октябре разработчик обновил не только Flash, но также Reader и Acrobat, суммарно закрыв 69 критических уязвимостей.

Категории: Главное, Уязвимости