Adobe исправила опасные ошибки в Acrobat и Flash Player

15 мая 2019 г., среда

Майский набор обновлений совокупно устраняет 87 уязвимостей, в том числе две в Adobe Media Encoder.

Компания Adobe выпустила обновления для Flash Player и Acrobat / Reader, закрыв в числе прочих критические уязвимости, грозящие исполнением вредоносного кода.

Совокупно новый набор плановых патчей компании устраняет 87 уязвимостей. Основная масса этих проблем (84) содержится в Acrobat и Reader.

Согласно бюллетеню, 48 уязвимостей в программах для работы с PDF-файлами оценены как критические, так как они позволяют выполнить в системе любой код с правами текущего пользователя. В основном это ошибки использования освобожденной памяти. Шесть критических уязвимостей в Acrobat / Reader связаны с возможностью записи за пределами выделенной области памяти, две — с переполнением буфера в куче. Остальные охарактеризованы как путаница типов данных, двойное освобождение памяти, обход защиты и ошибка использования буфера (buffer error).

Новоявленные уязвимости затрагивают следующие решения:

Пользователям настоятельно рекомендуется установить обновления, хотя им присвоен приоритет 2. По принятому в Adobe рейтингу это означает, что данные об использовании брешей в атаках отсутствуют, однако продукт входит в группу повышенного риска.

В Adobe Flash Player устранена критическая уязвимость вида use-after-free (CVE-2019-7837). Ее эксплуатация тоже может повлечь исполнение произвольного кода в контексте текущего пользователя. Проблема актуальна для всех прежних выпусков десктопных и браузерных версий продукта; пользователям рекомендуется произвести обновление до сборки 32.0.0.192.

Adobe также пропатчила приложение Media Encoder, предназначенное для перекодирования и рендеринга аудио- и видеофайлов. В этом инструменте были выявлены две ошибки разной степени опасности: критическая use-after-free и out-of-bounds read (возможность чтения за границами буфера), получившая оценку «существенная». Первая проявляется при парсинге медиафайлов и позволяет удаленно выполнить вредоносный код, вторая грозит раскрытием конфиденциальной информации. Наличие новых проблем подтверждено для Adobe Media Encoder сборки 13.0.2; пользователям предлагается перейти на ветку 13.1.

Threatpost