Adobe опубликовала бюллетень, содержащий обновления Flash Player и закрывающий 18 критических уязвимостей, которые позволяют злоумышленникам установить контроль над системой.

Плановые патчи для систем под Windows, Macintosh и Linux устраняют бреши в нескольких сборках Flash Player и AIR — среды исполнения программ Adobe.

15 из 18 запатченных уязвимостей, то есть львиная доля «улова» этого месяца, открывают возможность для удаленного выполнения кода и связаны с использованием освобожденной памяти, двойным высвобождением, повреждением памяти, ошибкой верификации или переполнением буфера. Остальные уязвимости позволяют раскрыть сеансовые идентификаторы или повысить привилегии.

Данные бреши были выявлены участниками Google Project Zero и Chromium Rewards Project, а также сотрудниками Microsoft и других компаний.

Adobe настоятельно рекомендует пользователям, не обновившим старые версии Flash Player (до 15.0.0.189 включительно, до 13.0.0.250 включительно для 13.x, до 11.2.202.411 включительно для Linux), а также устаревшие сборки AIR (до 15.0.0.293 включительно, SDK — до 15.0.0.302 включительно, SDK & Compiler — до 15.0.0.302 включительно, а также версии до 15.0.0.293 включительно для Android), применить патчи как можно скорее.

В октябре, всего неделю спустя после публикации большого набора патчей, хакеры включили одну из уже залатанных уязвимостей (CVE-2014-0569) в эксплойт-пак Fiesta. Независимый ИБ-эксперт под ником Kafeine написал в блоге, что это случилось «довольно быстро» и злоумышленник, включивший баг в эксплойт-пак, смог реверсировать патч за два дня. Пока неизвестно, эксплуатируются ли какие-либо из запатченных сегодня брешей itw и есть ли вероятность, что они окажутся в составе нового эксплойт-пака.

Категории: Главное, Уязвимости