Adobe выпустила первую новогоднюю порцию патчей, традиционно закрывающих уязвимости во Flash Player и Reader. Ни одна из этих брешей пока не используется в дикой природе.

Обновление для Flash устраняет 13 уязвимостей, из которых 12 грозят удаленным исполнением кода. В Reader и Acrobat пропатчено 29 багов, все они, кроме одного, влекут исполнение кода.

Этот набор патчей вышел спустя месяц после того, как Microsoft и Google подтвердили, что будут по умолчанию блокировать Flash в Edge и Chrome. Google еще в начале декабря заявила, что постепенно начнет переводить пользователей Chrome 55 на HTML5. Microsoft последовала примеру Google: со слов разработчика, Edge вскоре станет по умолчанию блокировать Flash-контент на сайтах, поддерживающих HTML5.

История обеспечения безопасности Flash давно уже превратилась в длинную, кипящую страстями повесть. Несмотря на отчаянные попытки Adobe защитить этот софт от эксплойта, злоумышленники продолжают отыскивать слабые места во Flash и использовать их в масштабных кампаниях и целевых атаках с неослабным энтузиазмом.

Январское обновление Flash устраняет три бреши использования высвобожденной памяти, четыре уязвимости переполнения буфера и пять багов нарушения целостности памяти; все они открывают возможность для исполнения кода. Adobe также пропатчила уязвимость CVE-2017-2938, чреватую раскрытием информации.

Уязвимостям подвержены Flash версий 24.0.0.186 и ниже, работающие на Windows, Macintosh и Linux, а также в Chrome, Edge и Internet Explorer. Организациям рекомендуется как можно скорее обновить этот продукт до версии 24.0.0.194.

Обновление для Reader/Acrobat более объемно, оно закрывает почти три десятка уязвимостей таких видов, как путаница типов данных, порча памяти, переполнение буфера, use-after-free. Из них 28 позволяют исполнить код в хост-системе, а одна брешь, CVE-2017-2947, грозит обходом защиты. Данное обновление адресовано пользователям Reader/Acrobat версии 11.0.18 и более ранних.

Категории: Главное, Уязвимости

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *