Второй раз за девять дней компания Adobe закрыла критическую уязвимость в
Flash Player, эксплуатируемую хакерами. Adobe также обновила Reader, закрыв13
новых и несколько старых багов.
Уязвимость повреждения памяти в Flash Player была оценена Adobe как
"критическая". В сопутствующем
информационном бюллетене компания сообщила, что данный баг может
"потенциально позволить злоумышленнику установить контроль над системой".
"Имеются сообщения, что данная уязвимость эксплуатируется на практике в целевых
атаках, осуществляемых через вредоносные веб-страницы", - также было указано в
информационном бюллетене. Компания Adobe в последний раз выпускала критическое
обновление - прозванное "экстренным"- 5 июня, когда она устранила критическую
уязвимость, которую злоумышленники эксплуатировали для кражи входных данных
Gmail. Это происходило посредством сообщений, которые обманным способом пытались
заставить пользователей ввести их логины и пароли в фейковом экране входа в
систему.
Google, которая предоставляет Flash Player совместно с Chrome, также обновила
свой браузер во вторник, чтобы включить только что обновленную версию Flash.
Adobe патчит Flash Player уже четвертый раз за последние два месяца, и уже 6
раз в этом году.
Хотя большинство уязвимостей Flash также могут быть эксплуатированы при
помощи специально разработанных PDF документов - Adobe Reader работает с "authplay.dll",
специализированной версией Flash - Adobe сообщила, что новейший Flash баг не
влияет на Reader.
Наряду с обновлением безопасности Flash, Adobe также устранила 13 новых
уязвимостей в Reader. Новейшая версия, Reader X, получила, по меньшей мере, 17
патчей.
Все, кроме 2 из 13 уязвимостей, были оценены Adobe как "критические". Adobe,
как и Apple, не ранжирует уязвимости по многобальной системе. Вместо этого она
использует фразу "может привести к удаленному выполнению кода", чтобы отметить,
что хакеры могут взломать систему и внедрить вредоносную программу в компьютер,
используя баг.
Тринадцать новых багов включают уязвимости повреждения памяти, переполнения
буфера/кучи, cross-document scripting уязвимость, DLL load hijacking уязвимость
и один баг с простым названием "обход безопасности". Последней является
уязвимость, характерная лишь для Reader X, которая при определенных
обстоятельствах позволяет злоумышленнику заставить браузерный плагин Reader
загрузить файл не в PDF формате, сообщила Adobe, отвечая на уточняющие вопросы.
Компания Adobe также применила, по меньшей мере, четыре патча для уязвимостей
в Reader X, которые она отказалась устранять в трех выпущенных ранее экстренных
обновлениях с марта месяца .
Согласно компании Adobe, ни одна из уязвимостей Reader, закрытых во вторник,
не была эксплуатирована на практике.
В это же время, когда она выпустила обновления безопасности для Flash Player
и Reader, Adobe также пропатчила 24 уязвимости в Shockwave Player, две в
LifeCycle Data Services и Blaze DS – потоковом сервисе и сервисе принудительной
доставки данных, соответственно – и две уязвимости в ColdFusion.
