Adobe обновила Flash Player, пропатчив 52 уязвимости; большинство из них открывают возможность для удаленного выполнения кода на скомпрометированной машине.

Это самый солидный апдейт Flash в текущем году, и без того напряженном для пользователей этого многострадального продукта. Adobe даже приходилось работать вне графика, чтобы устранить уязвимости нулевого дня, используемые во вредоносных и APT-атаках.

Ни одна из ныне закрываемых брешей пока не эксплуатируется в дикой природе.

Версия 22.0.0.209 обновит Flash, работающие на Windows, Mac OS X, Chrome, Internet Explorer и Edge; версия 11.2.202.632 адресована пользователям Linux.

Если говорить конкретно, во Flash исправлено 33 бага порчи памяти и 10 use-after-free; и те, и другие чреваты удаленным исполнением кода. Кроме того, устранены несколько уязвимостей вида type confusion (путаница типов данных), переполнение буфера в куче, утечка памяти, нарушение целостности кучи, а также состояние гонки и обход защиты, влекущие раскрытие информации.

Adobe также выпустила новые версии Acrobat и Reader, закрыв 30 уязвимостей в этих продуктах. Все бреши, кроме одной, открывают возможность для выполнения кода; в большинстве своем это баги порчи памяти, остальные — целочисленное переполнение, переполнение буфера кучи, использование высвобожденной памяти. Одна из уязвимостей позволяет обойти ограничения на исполнение сценариев JavaScript через API.

Пользователей призывают установить версию 11.0.17 Adobe Acrobat/Reader на десктопах под Windows и Mac OS X.

Вышла также версия 5.1.3 пакета XMP Toolkit для Java. Она устраняет уязвимость в парсере XMP Core, поддерживающем внешние сущности; эксплуатация этой бреши грозит раскрытием информации.

Категории: Главное, Уязвимости