Компания Adobe сдержала обещание, данное несколько дней назад: вышел патч для уязвимости нулевого дня во Flash Player (CVE-2016-4117). Кроме этого исправления внеплановое обновление устранило еще 24 уязвимости.
Данное обновление рекомендуется установить всем пользователям Flash Player для Windows, OS X и Linux, так как найденные проблемы касаются всех перечисленных ОС. Microsoft и Google обновляют браузеры IE11, Edge и Chrome, представив собственные патчи для Flash Player.
Ранее Adobe предупреждала, что для CVE-2016-4117 уже существует эксплоит, и злоумышленники активно эксплуатируют баг. Сообщалось, что использование бага, обнаруженного исследователями FireEye, может привести к некорректному завершению работы Flash Player, что в дальнейшем позволит атакующему установить контроль над уязвимой системой. Теперь появились новые подробности, и стало известно, что уязвимость относится к type confusion, то есть связана с несоответствием используемых типов данных.
Помимо уязвимости нулевого дня, Adobe исправила несколько ошибок use-after-free, ряд проблем повреждения памяти, а также несколько багов, допускающих переполнение буфера. Не считая 0-day, наиболее интересным исправлением стал патч для CVE-2016-4116: согласно бюллетеню безопасности, данный баг позволял исполнение произвольного кода из-за уязвимости в directory search path.
