Adobe выпустила первое обновление этого года для Flash Player, закрывающее девять уязвимостей, включая различные критические баги, которые могут позволить злоумышленнику взять под контроль уязвимую систему.

Согласно информационному сообщению, опубликованному компанией сегодня, уязвимости содержатся в старых версиях Flash для Windows, Macintosh и Linux. Номера версий различаются для различных платформ, но новое обновление в основном затрагивает Flash Player версий 16.0.0.235 и более ранних.

Исследователи, работающие с Project Zero Google, обнаружили три из девяти уязвимостей, все могут позволить исполнение кода.

Один из багов является уязвимостью раскрытия данных (CVE-2015-0303), выкопанной Крисом Эвансом (Chris Evans) и Тевисом Орманди (Tavis Ormandy), в то время как другая уязвимость — спутывания типа (CVE-2015-0305) была обнаружена исследователем Натали Сильванович (Natalie Silvanovich), работает с Project Zero. Эванс также помог Фермин Ж. Серна (Fermin J. Serna), члену команды безопасности Google, в обнаружении бага использования после освобождения, который мог привести к исполнению кода.

Один из более интересных исправленных багов может быть, по-видимому, эксплуатирован для захвата клавиатурных последовательностей, но Adobe не предоставила о нем более подробной информации, включая то, кто его обнаружил.

Пара багов переполнения буфера динамической области, которые могут привести к исполнению кода, заключается в неправильной валидации файла, также в этом обновлении была исправлена уязвимость чтения памяти вне границ области.

По сообщению Adobe, ни одна из этих уязвимостей, более половины которых были расценены как критические, не была эксплуатирована.

Adobe призывает пользователей обновиться до самой последней версии Flash, 16.0.0.257. В то время как пользователи, установившие Flash через Internet Explorer или Chrome, обновятся автоматически, другие пользователи десктопной версии должны обновиться с помощью механизма Adobe, при появлении всплывающего предупреждения.

Категории: Главное, Уязвимости