Ноябрьский «вторник патчей» ознаменовался выпуском весьма внушительного набора патчей для Adobe Acrobat и Reader: в этих продуктах устранены десятки уязвимостей удаленного исполнения кода (RCE). Одновременно вышедшее обновление для Flash Player по объему ближе к обычному — в нем закрыты лишь несколько критических уязвимостей. По словам разработчика, ни одна из ныне закрываемых уязвимостей не используется в реальных атаках.

Апдейт для Flash Player предназначен для версий 27.0.0.183 и ниже, работающих на Windows, Mac, Linux, Chrome OS, а также в браузерах Chrome, Microsoft Edge и Internet Explorer 11. Новые патчи включены в состав версии 27.0.0.187, которую рекомендуется установить на все платформы.

Совокупно во Flash пропатчено пять критических RCE-уязвимостей: CVE-2017-3112, CVE-2017-3114, CVE-2017-11213, CVE-2017-11215 и CVE-2017-11225. Три из них, обнаруженные участниками Zero Day Initiative, представляют собой баги записи за пределами допустимого диапазона, остальные две — use-after-free, о которых Adobe сообщил исследователь из Zhanlu Lab китайского холдинга Tencent.

Обновление для Acrobat и Reader содержит патчи для 56 уязвимостей — в большинстве своем RCE с оценкой «критическая». Устранены также два менее опасных бага обхода защиты и возможность истощения стека, влекущего крэш.

По словам Adobe, уязвимостям подвержены Acrobat/Reader DC версий 2017.012.20098 и ниже, Acrobat/Reader 2017 версий 2017.011.30066 и ниже, Acrobat/Reader DC версий 2015.006.30355 и ниже, а также Acrobat/Reader XI версий 11.0.22 и ниже.

Закрыты также бреши в следующих продуктах:

  • Adobe Photoshop CC — две критические RCE-уязвимости;
  • Adobe Connect — пять уязвимостей, в том числе критический баг обхода контроля доступа к сети;
  • Adobe DNG Converter — один баг нарушения целостности памяти;
  • Adobe InDesign — одна критическая RCE-брешь;
  • Adobe Digital Editions — шесть уязвимостей, в том числе критический баг раскрытия информации;
  • Shockwave Player — одна критическая RCE-уязвимость;
  • Adobe Experience Manager — три уязвимости, в том числе умеренно опасный баг раскрытия информации.

Категории: Главное, Уязвимости