Adobe выпустила обновление для Flash Player, содержащее патчи для 23 критических уязвимостей; эксплойт многих из них открывал возможность для исполнения кода.

Версии ниже 18.0.0.231 для Windows и Mac, браузеров Microsoft Edge и Internet Explorer 11 для Windows 10 и Internet Explorer 10 и 11, согласно бюллетеню Adobe, опубликованному в минувший понедельник, являются уязвимыми.

Представители компании заявляют, что не располагают информацией об использовании уязвимостей itw, но все же рекомендуют в спешном порядке обновить Flash Player до версии 19.0.0.185, скачав обновление с веб-сайта компании либо воспользовавшись функцией автоматического обновления.

Эксплойт подавляющего большинства уязвимостей, 18 из 23, позволяет исполнить произвольный код. Прочие чреваты раскрытием информации, обходом политики единого источника и утечкой памяти.

Некоторые из новых фиксов более превентивны по своей природе, чем другие. К примеру, один из них добавляет ряд проверок, которые помогают блокировать вредоносный контент при работе с API-функциями, требующими обратного вызова; другой патч усиливает защитные меры против багов, связанных с нарушением длины вектора.

Десять уязвимостей были обнаружены исследователями из Google Project Zero, в том числе баги, найденные экс-участником Project Zero Крисом Эвансом (Chris Evans), а также Бэном Хоксом (Ben Hawkes), Джеймсом Форшо (James Forshaw) и другими экспертами. Остальные уязвимости были обнаружены китайской хакерской командой Keen Team, сотрудничавшей с HP Zero Day Initiative, а также исследователями из Alibaba Security Research Team, Tencent Xuanwu Lab и других организаций.

Это уже второй кряду месяц, когда Adobe выпускает более 20 патчей для Flash. В прошлом месяце компания выпустила обновление, закрывшее более 30 уязвимостей, в том числе те, эксплойт которых позволял получить полный контроль над машиной, использующей устаревшие версии Flash.

Категории: Главное, Уязвимости