Мартовский набор патчей от Adobe оказался довольно скромным: разработчик совокупно закрыл лишь пять уязвимостей: две в Flash Player, еще две в ПО для веб-конференций Adobe Connect и одну в визуальном HTML-редакторе Dreamweaver.

Бреши во Flash (CVE-2018-4919 и CVE-2018-4920) Adobe оценила как критические, но заплаткам присвоила приоритет 2, так как эти баги пока не используются в реальных атаках.

Первая уязвимость возникла из-за возможности использования освобожденной памяти, вторая относится к категории type confusion (путаница типов данных). Согласно бюллетеню разработчика, успешный эксплойт в обоих случаях может повлечь исполнение произвольного кода в контексте текущего пользователя.

Новоявленным уязвимостям подвержены версии Flash 28.0.0.161 и ниже, работающие на платформах Windows, Macintosh, Linux и Chrome OS. Пользователям этого продукта Adobe рекомендуется установить обновление 29.0.0.113.

Корректирующий выпуск Adobe Connect 9.7.5 устраняет уязвимость CVE-2018-4921, грозящую XSS-атакой, а также баг внедрения команд CVE-2018-4923. Первая брешь, как сказано в бюллетене, позволяла «выгружать SWF-файлы в обход ограничений безопасности». В результате специально созданный файл мог обеспечить злоумышленнику удаленный доступ к конфиденциальной информации.

Вторая уязвимость крылась в обработчике URI-идентификаторов и тоже допускала удаленный эксплойт. В случае успеха автор атаки получал возможность удалять произвольные файлы на Windows или деинсталлировать само приложение Connect.

Уязвимость CVE-2018-4924 в Adobe Dreamweaver CC на Windows тоже вызвана некорректной обработкой URI, открывающей возможность для внедрения команд. Согласно бюллетеню Adobe, использование этой бреши позволяло выполнить произвольный код в контексте текущего пользователя.

Данную уязвимость разработчик оценил как критическую, однако патчу назначил приоритет третьей степени. Пользователям всех прежних версий Dreamweaver рекомендуется обновить этот продукт до сборки 18.1. Это можно сделать, используя апдейтер Creative Cloud для десктопных приложений, или через соответствующую опцию в меню Dreamweaver Help.

Категории: Кибероборона, Уязвимости