Октябрьский набор обновлений для Adobe Acrobat и Reader на сей раз вышел раньше «вторника патчей». В этих продуктах совокупно закрыто 86 уязвимостей; больше половины из них позволяют выполнить произвольный код и оценены как критические.

«Adobe выпустила обновления безопасности для Adobe Acrobat и Reader на Windows и MacOS, — сказано в бюллетене, опубликованном в понедельник, 1 октября. — Эти обновления устраняют критические и существенные уязвимости. Успешная эксплуатация может повлечь исполнение произвольного кода в контексте текущего пользователя».

Подобные последствия могут вызвать следующие ошибки: запись с выходом за границы буфера (22 бага), переполнение буфера в куче (7), использование освобожденной памяти (7), путаница типов данных (3), ошибки буферизации (3), разыменование непроверенного указателя (3), двойное освобождение памяти (1). Еще одна критическая уязвимость — CVE-2018-15966 — позволяет повысить привилегии в обход защиты.

Существенными признаны 36 багов чтения за пределами допустимого диапазона, которые грозят раскрытием информации, а также переполнение буфера в стеке и две ошибки целочисленного переполнения.

Данных об использовании новых брешей в реальных атаках у вендора нет. Тем не менее, всем патчам, согласно классификации Adobe, присвоен приоритет 2, так как Acrobat и Reader всегда числились в группе риска.

Новые уязвимости присутствуют в Acrobat DC / Acrobat Reader DC версий 2018.011.20063 и ниже, Acrobat 2017 / Acrobat Reader 2017 версий 2017.011.30102 и ниже, а также Acrobat DC / Acrobat Reader DC версий 2015.006.30452 и ниже. Для этих продуктов выпущены обновления 2019.008.20071, 2017.011.30105 и 2015.006.30456 соответственно.

В сентябре Adobe латала Acrobat и Reader с опозданием: заплатки для них вышли 19 сентября, спустя неделю после планового «вторника патчей». На тот момент разработчик закрыл лишь одну критическую уязвимость — CVE-2018-12848 (запись за пределами выделенного в памяти буфера, грозящая исполнением произвольного кода).

Категории: Главное, Уязвимости