Вчера вышли плановые обновления для Flash Player, Acrobat/Reader, Photoshop, Adobe Campaign и Creative Cloud Desktop Application. Совокупно разработчик устранил 59 уязвимостей; 44 из них влекут исполнение кода и оценены как критические.

В числе прочих пропатчены бреши, выявленные в ходе конкурса Pwn2Own, проведенного в прошлом месяце в Ванкувере. В первый день состязания были продемонстрированы две атаки на Adobe Reader, при этом команда из Qihoo 360 использовала ошибку переполнения буфера в куче (CVE-2017-3055) в этом продукте, а Team Sniper из Tencent — баг утечки информации и использование высвобожденной памяти (CVE-2017-3056 и CVE-2017-3057 соответственно). Выпустив новый бюллетень, Adobe поблагодарила конкурсантов за находки.

На второй день Pwn2Own те же участники успешно атаковали Flash Player, используя разные уязвимости use-after-free в этом продукте. Обе бреши, CVE-2017-3062 и CVE-2017-3063, ныне закрыты. Пользователям Flash рекомендуется обновить продукт на всех платформах до версии 25.0.0.148.

В графическом редакторе Photoshop CC устранено две уязвимости. Одна из них, CVE-2017-3004, связана с парсингом файлов PCX и оценена как критическая, так как может повлечь исполнение кода через нарушение целостности памяти. Другая ошибка не столь опасна, она относится к виду unquoted search path («путь поиска не заключен в кавычки») и свойственна лишь Windows-версиям Photoshop.

Adobe также закрыла пару брешей в SaaS-решении Creative Cloud для настольных ПК Windows. Эти уязвимости не критичны, хотя одна, вызванная ошибкой в пути поиска ресурсов, может повлечь исполнение кода. Вторая уязвимость (CVE-2017-3006), по мнению Adobe, более серьезна; она возникла из-за неадекватности разрешений на доступ к ресурсам, задаваемых при установке некоторых десктопных приложений Creative Cloud. Чтобы избавиться от этой уязвимости, пользователям нужно будет обновить (или переустановить) все ранее установленные приложения Creative Cloud, используя версию 4.0.0.185 или выше продукта. Adobe напоминает, что обновление Creative Cloud Desktop Application можно произвести, осуществив выход из приложения и повторный вход под своим ID.

Патч для ПО Adobe Campaign, используемого для автоматизации и персонализации маркетинговых кампаний, оценен как важный. Соответствующая уязвимость (CVE-2017-2989) заключается в обходе проверки входных данных, который, по словам Adobe, можно использовать для чтения, записи или удаления содержимого базы данных Campaign. Данная брешь актуальна для версии 6.11 продукта на Windows и Linux; обновление следует произвести до сборки 8794.

Категории: Главное, Уязвимости