Adobe обещает до конца недели выпустить патч для уязвимости во Flash Player, которая уже используется «в ограниченном объеме в целевых атаках».

Брешь CVE-2016-4171 присутствует во всех версиях Flash вплоть до 21.0.0.242 включительно, установленных на платформах Windows, Macintosh, Linux и Chrome OS. «Успешная эксплуатация может повлечь крэш и потенциально позволяет атакующему установить контроль над уязвимой системой», — сказано в нотификации Adobe.

О наличии атакуемой уязвимости во Flash разработчику доложил исследователь из «Лаборатории Касперского» Антон Иванов. Соответствующая заплатка появится, скорее всего, в четверг, хотя все ожидали, что Flash Player будет пропатчен в установленном порядке в минувший вторник. В итоге плановые обновления получили другие продукты, в том числе DNG Software Development Kit, Adobe Brackets, Adobe Creative Cloud Desktop Application и ColdFusion.

Самый высокий приоритет был присвоен «горячим» заплаткам для ColdFusion; они предназначены для ColdFusion (выпуска 2016) Update 1, ColdFusion 11 Update 8 и ниже, а также для ColdFusion 10 Update 19 и ниже. Все они устраняют уязвимость CVE-2016-4159, связанную с проверкой входных данных; согласно Adobe, эту брешь потенциально можно использовать для проведения отраженных XSS-атак.

Ныне закрываемая уязвимость в комплекте разработчика, обеспечивающем поддержку архивного формата DNG, представляет собой баг порчи памяти и затрагивает версии 1.4 и ниже этого SDK.

В Adobe Brackets, редакторе с открытым исходным кодом, устранены две бреши, пока не эксплуатируемые itw. Одна из них открывает возможность для внедрения JavaScript и может быть использована в XSS-атаках, другая позволяет подать на вход менеджера расширений вредоносные данные. Этим уязвимостям подвержены Adobe Brackets версий 1.6 и ниже, работающие на Windows, Macintosh и Linux; пользователям продукта рекомендуется обновить его до версии 1.7.

В пакете Adobe Creative Cloud для настольных ПК Windows, включающем такие приложения, как Photoshop, Illustrator, InDesign и Premiere Pro, закрыты две уязвимости, актуальные для версий 3.6.0.248 и ниже. Одна из этих брешей, ненадежный поиск пути каталога, обнаружена в инсталляторе, вторая связана с некорректным перечислением путей к службам (путь не заключается в кавычки, как положено, что позволяет внедрить вредоносный файл, который будет исполнен с привилегиями запущенной службы, обычно уровня SYSTEM).

Категории: Главное, Уязвимости