Как и было обещано, Adobe вчера выпустила обновленную версию Flash Player с патчем для уязвимости нулевого дня, эксплойт к которой уже имеется в открытом доступе.

В минувший вторник разработчик выпустил предварительный бюллетень, в котором было отмечено, что брешь CVE-2016-4117 присутствует во Flash версий 21.0.0.226 и ниже, работающих под Windows, Mac OS X, Linux или Chrome OS. «Успешная эксплуатация может привести к крэшу и потенциально позволяет атакующему установить контроль над уязвимой системой», — предупредила Adobe.

Новый патч закрывает 0-day в обоих релизах Flash — Desktop и Extended Support, а также на Google Chrome, Microsoft Edge и IE 11. Во всех случаях бреши был присвоен статус «критическая».

Уязвимость CVE-2016-4117 относится к виду type confusion — «путаница типов данных», которая в данном случае чревата исполнением кода.

Совокупно новый выпуск для Flash устранил 25 уязвимостей, в том числе 12 багов порчи памяти и 8 use-after-free.

Напомним, это уже второе экстренное обновление Flash Player за последний месяц с небольшим. В начале апреля Adobe пропатчила другую 0-day, которая к тому моменту уже была включена в эксплойт-паки и активно использовалась для доставки программ-вымогателей.

Категории: Главное, Уязвимости