Спустя две недели после экстренного обновления Flash Player разработчик вновь выпустил патчи для этого продукта. Новый релиз устраняет девять уязвимостей, все они открывают возможность для исполнения кода.

Согласно бюллетеню Adobe, этим уязвимостям подвержены Flash версий 23.0.0.205 и ниже, работающие на Mac и Windows, в Google Chrome, а также в Microsoft Edge и IE 11 на Windows 10 и Windows 8.1. Данных о публичном эксплойте у разработчика нет. Пользователям рекомендуется произвести обновление до версии 23.0.0.207.

Шесть ныне закрываемых уязвимостей относятся к классу use-after-free (использование высвобожденной памяти), три представляют собой баги type confusion (путаница типов данных). Все они были обнаружены участниками проекта Zero Day Initiative компании Trend Micro.

Новый набор патчей для Flash выпущен в плановом порядке, тогда как заплатка для CVE-2016-7855 двухнедельной давности вышла вне графика — из-за текущих атак. Об этой бреши нулевого дня Adobe сообщили аналитики из Google; они же обнаружили, что авторы целевых атак используют ее в связке с еще одной 0-day, в ядре Windows.

Получив уведомление, Adobe выпустила патч для Flash в течение недели. Microsoft не уложилась в этот срок, и, следуя политике Google о раскрытии, исследователи предали гласности атакуемый баг в Windows. Эта брешь была закрыта лишь вчера, в рамках регулярного «вторника патчей».

Кроме Flash Adobe пропатчила ПО для веб-конференций Connect, устранив уязвимость, которой подвержены версии 9.5.6 и ниже, работающие на Windows. «Это обновление исправляет ошибку валидации входных данных в модуле регистрации событий; эта уязвимость может быть использована в XSS-атаках», — сказано в бюллетене. Пользователям рекомендуется обновить продукт до версии 9.5.7.

Категории: Уязвимости