Вчера утром Adobe выпустила апдейт к Flash Player, закрывающий 11 критических уязвимостей; большинство из них позволяют удаленно исполнять код.

По данным Adobe, ни одна из них пока не эксплуатируется itw.

Данное обновление актуально для Flash Player Desktop и Google Chrome до версии 16.0.0.305 включительно, работающих на платформах Windows и Mac OS X, а также для Flash Player в Internet Explorer 10 и 11 под Windows 8 и 8.1. Версии Flash Player 11.2.202.442 для Linux и Flash Player Extended Support Release 13.0.0.269 для Windows и Mac OS X тоже уязвимы.

Обновленный Flash Player включает патчи для четырех уязвимостей повреждения целостности памяти, позволяющих удаленно исполнить код, отчеты о трех из них были получены в рамках Project Zero.

Две уязвимости класса type confusion (некорректность проверки на принадлежность к типу Object), две уязвимости use after free (использование освобожденной памяти) и одна уязвимость integer overflow (целочисленное переполнение) также были пропатчены; по заявлению Adobe, все они могут быть использованы для удаленного исполнения кода.

Апдейт также пропатчил обход кросс-доменной политики и обход ограничения на загрузку файлов.

Эти патчи от Adobe идут следом за бюллетенями Microsoft. В мартовский «вторник патчей» Microsoft выпустила 14 бюллетеней, в том числе 5 критических; помимо прочего разработчик закрыл уязвимость FREAK и повторно выпустил патч к Stuxnet-бреши, неудачно закрытой в 2010 году.

Категории: Главное