Adobe залатала Acrobat, Reader и ColdFusion, совокупно закрыв 95 уязвимостей. Патч для критической бреши во Flash Player, эксплойт для которой уже существует itw, выйдет позже на текущей неделе.

Уязвимость CVE-2016-4117 обнаружил исследователь из FireEye Гэнь-Вэй Цзян (Genwei Jiang); согласно Adobe, она присутствует во Flash версий 21.0.0.226 и ниже, работающих под Windows, Mac, Linux или Chrome OS. Ее эксплойт может вызвать крэш и позволяет атакующему установить контроль над системой. Разработчик не успел подготовить заплатку для бреши нулевого дня ко «вторнику патчей», но обещает выпустить ее до конца недели, ориентировочно в четверг.

Регулярный майский выпуск устраняет 92 уязвимости в Acrobat и Reader; большинство из них — use-after-free или баги нарушения целостности памяти, чреватые исполнением кода. Некоторые связаны с целочисленным переполнением, проблемами с установкой пути поиска каталога или переполнением буфера и также позволяют исполнить код. Другие уязвимости грозят раскрытием информации, утечкой памяти или обходом ограничений по API JavaScript.

Насколько известно, ни одна из этих многочисленных брешей пока не используется в дикой природе, однако Adobe их оценивает как критические, так как атакующий потенциально может захватить контроль над системой.

В ColdFusion были исправлены три ошибки: некорректная валидация входных данных, чреватая XSS-атакой; проблема с верификацией имени хоста при использовании SSL-сертификатов Wildcard, а также возможная десериализация объектов Java, актуальная для Apache Commons. Соответствующие горячие заплатки Adobe предназначены для ColdFusion версий 10 и 11, а также для выпуска 2016.

Категории: Главное, Уязвимости