Компания Adobe выпустила экстренное обновление для Flash Player, хотя всего два дня назад были выпущены плановые патчи для Acrobat, Reader и Digital Editions. Суммарно во Flash Player устранили 23 уязвимости, включая 0-day, который уже используют хакеры.
Согласно сообщению сотрудника «Лаборатории Касперского» Антона Иванова, для уязвимости CVE-2016-1010 уже существует эксплоит, и хакеры используют эту брешь для проведения таргетированных атак. CVE-2016-1010, наряду с CVE-2016-0963 и CVE-2016-0993 позволяют злоумышленнику выполнить на машине жертвы произвольный код через переполнение целочисленного типа.
Уязвимости CVE-2016-0987, CVE-2016-0988, CVE-2016-0990, CVE-2016-0991, CVE-2016-0994, CVE-2016-0995, CVE-2016-0996 и CVE-2016-1000 позволяют осуществить атаку типа use-after-free, что тоже может привести к удаленному исполнению кода.
Проблемы, получившие идентификаторы CVE-2016-0960, CVE-2016-0961, CVE-2016-0962, CVE-2016-0986, CVE-2016-0989 и CVE-2016-1005, вызывают нарушение целостности информации в оперативной памяти, что опять может привести к RCE-атаке.
Уязвимость CVE-2016-1001 приводит к переполнению динамической области памяти и последующему исполнению произвольного кода.
Сообщается, что большинство этих проблем обнаружили специалисты по информационной безопасности компаний Google, Alibaba, HP, Microsoft, Tencent, Venustech ADLAB и NSFOCUS.