Adobe выпустила майские обновления для Flash Player, Reader и Acrobat, устранив 18 и 34 уязвимости соответственно. По свидетельству разработчика, ни одна из этих брешей пока не эксплуатируется в дикой природе.
Обновление Flash на Windows, Mac OS X и Linux закрывает уязвимости, позволяющие удаленному злоумышленнику захватить контроль над скомпрометированным компьютером.
Эти патчи актуальны для Adobe Flash Player 17.0.0.169 и более ранних версий, Flash Player 13.0.0.281 и ниже, Flash Player 11.2.202.457 и ниже, AIR Desktop Runtime 17.0.0.144 и ниже, а также для AIR SDK и SDK & Compiler до 17.0.0.144.
Большинство соответствующих уязвимостей открывают возможность для выполнения произвольного кода. Набор патчей для Flash латает четыре бреши порчи памяти, переполнение хипа, целочисленное переполнение, три бага, связанных с путаницей типов данных, и use-after-free.
Обновление Flash также исправляет ошибку time-of-check — time-of-use (условие гонок типа «время проверки — время использования», TOCTOU), позволяющую обойти защищенный режим Internet Explorer. Кроме того, разработчик устранил три уязвимости, открывающие возможность для записи в файловую систему с правами текущего пользователя; две бреши утечки памяти, чреватые обходом ASLR, и еще одну возможность раскрытия информации в обход защиты.
Обновления Reader и Acrobat предназначены для Adobe Reader/Acrobat XI (до 11.0.10) и Adobe Reader/Acrobat X (до 10.1.13). Наиболее серьезные из брешей, устраняемых в этих продуктах, открывают возможность для выполнения кода. К ним относятся десять уязвимостей порчи памяти, пять use-after-free, переполнение буфера и переполнение хипа.
В Reader и Acrobat также исправлены 14 ошибок, позволяющих некоторым методам обойти ограничения на выполнение javascript API. Набор патчей для Adobe Reader/Acrobat завершают заплатка против утечки памяти, против разыменования указателя NULL, чреватого отказом в обслуживании, а также дополнительная защита от раскрытия информации при обработке внешних объектов XML.
Источник