Вчера Adobe выпустила экстренное обновление для Flash Player, включив в него патч для уязвимости, уже используемой в целевых атаках.

О бреши CVE-2016-7855 разработчику доложили аналитики Нил Мехта (Neel Mehta) и Билли Леонард (Billy Leonard) из Google. Мехта — один из четырех исследователей, которые в 2014 году нашли и раскрыли Heartbleed, уязвимость в широко используемой криптобиблиотеке OpenSSL, позволяющую читать память в ходе защищенной сессии.

В новом бюллетене, посвященном Flash, сказано: «Adobe известно о существовании эксплойта для CVE-2016-7855 в дикой природе и о его ограниченном использовании в целевых атаках против пользователей, работающих с Windows версий 7, 8.1 и 10». На запрос Threatpost о комментарии разработчик заявил, что не располагает другими данными о текущих атаках. Мехта на аналогичный запрос пока не ответил.

Данная уязвимость представляет собой баг использования освобожденной памяти, чреватый исполнением кода. Согласно Adobe, он присутствует в десктопных (Windows, Linux и Mac) Flash Player версий 23.0.0.185 и ниже, а также во Flash на Google Chrome и обоих браузерах Microsoft, работающих под Windows 10 или 8.1. Пользователям настоятельно рекомендуется обновить продукт до версии 23.0.0.205.

В текущем году Adobe многократно обновляла Flash, в том числе каждый «вторник патчей», кроме августовского. Нынешний внеочередной патч — четвертый по счету, аналогичным образом Flash 0-day под атакой латались также в апреле, мае и июне.

Категории: Главное, Уязвимости