Апрельский набор обновлений от Adobe включает патчи для четырех критических уязвимостей во Flash Player и программе компьютерной верстки InDesign.

Суммарно разработчик закрыл десятка два брешей в своих продуктах, в том числе в Adobe Experience Manager, ColdFusion, Adobe Digital Editions и Adobe PhoneGap Push Plugin. Сведений об использовании в атаках какой-либо из этих уязвимостей у Adobe нет, но их подробности пока не разглашаются.

Наиболее серьезны баги удаленного исполнения кода, присутствовавшие в Adobe Flash Player 29.0.0.113 и ниже. Это уязвимость CVE-2018-4932 (использование освобожденной памяти), а также CVE-2018-4935 и CVE-2018-4937 (обе относятся к типу «запись за пределами допустимого диапазона»). Согласно бюллетеню разработчика, «успешный эксплойт мог повлечь исполнение произвольного кода в контексте текущего пользователя».

Две из этих брешей обнаружили Матеуш Юрчик (Mateusz Jurczyk) и Натали Силванович (Natalie Silvanovich) из Google Project Zero, третью — Линь Ван (Lin Wang) из университета Бэйхан в Пекине. Кроме этих уязвимостей, во Flash Player устранены три бага раскрытия информации, оцененные как «существенные».

Adobe настоятельно рекомендует пользователям десктопных версий Flash (на Windows, Macintosh и Linux) установить обновление 29.0.0.140 через встроенный апдейтер или посетив соответствующий Центр загрузок. Модули Flash, установленные в Google Chrome, Microsoft Edge и Internet Explorer 11, будут обновлены автоматически вместе с браузером. Кстати, Edge и IE 11 получат обновления в ближайшие день-два, так как Microsoft выпускает плановые патчи одновременно с Adobe.

Четвертую критическую уязвимость обнаружил исследователь Хун Ган Жэн (Honggang Ren) из ИБ-компании Fortinet. Эта брешь, грозящая исполнением произвольного кода, присутствовала в InDesign CC версий 13.0 и ниже.

«Обновление устраняет критическую уязвимость нарушения целостности памяти (CVE-2018-4928), вызванную небезопасностью парсинга специально созданных файлов .inx», — сказано в бюллетене Adobe. Разработчик рекомендует пользователям «обновить установленное ПО через апдейтер десктопных приложений Creative Cloud или отыскав опцию Updates в меню InDesign Help».

Категории: Главное, Уязвимости