SOS :: Security Operation Space
18 июля, среда, 00:00
|
Hot News:

Adobe пропатчила Acrobat и Reader

15 февраля 2018 г., четверг, 05:01

Разработчик устранил более сорока уязвимостей; около половины из них оценены как критические.

В рамках «вторника патчей» компания Adobe устранила в Acrobat и Acrobat Reader более сорока уязвимостей; около половины из них потенциально позволяют установить контроль над системой и оценены как критические. Тем не менее, всем обновлениям присвоен приоритет 2, так как ни одна закрываемая брешь не используется в реальных атаках.

Из критических уязвимостей пропатчены обход защиты (CVE-2018-4872), баги переполнения буфера в куче, use-after-free (использование освобожденной памяти) и ошибки записи за пределами выделенного в памяти буфера. В случае эксплойта первая брешь, согласно бюллетеню, позволяет повысить привилегии, остальные — выполнить произвольный код.

Существенными признаны множественные ошибки чтения за пределами допустимого диапазона, грозящие удаленным исполнением произвольного кода.

Наличие всех этих уязвимостей подтверждено для следующих продуктов, работающих на Windows и Macintosh:

  • Acrobat/Acrobat Reader DC с расширенной техподдержкой, версии 2018.009.20050 и ниже;
  • Acrobat/Acrobat Reader 2017 версий 2017.011.30070 и ниже;
  • Acrobat/Acrobat Reader DC с базовой техподдержкой, версии 2015.006.30394 и ниже.

Adobe рекомендует пользователям обновить эти продукты до версий 2018.011.20035, 2017.011.30078 и 2015.006.30413 (Windows) или 2015.006.30416 (Macintosh), соответственно.

Пользуясь случаем, разработчик напомнил, что срок поддержки Acrobat 11.x и Reader 11.x истек 15 октября, и порекомендовал пользователям заменить их новейшими версиями Acrobat DC и Acrobat Reader DC.

Одновременно вышли «горячие» заплатки для двух брешей в Adobe Experience Manager (AEM) версии 6.х — корпоративном решении для управления контентом. Отраженная XSS-уязвимости CVE-2018-4875 присвоен статус «умеренно опасная», XSS-уязвимости CVE-2018-4876 — «существенная». Последняя, согласно бюллетеню, была обнаружена в API сервиса Apache Sling XSS Protection. В случае эксплойта обе эти уязвимости могут повлечь раскрытие конфиденциальной информации.

Flash Player на этот раз получил патчи досрочно — из-за уязвимости нулевого дня, уже используемой в реальных атаках. Аналогичные обновления (ADV180004) параллельно начала раздавать Microsoft и позднее включила их в общий выпуск, приуроченный к очередному «вторнику патчей».

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:30
05:30
04:24
16:22
15:49
13:35
12:51
12:47
02:34
16:44
16:23
16:12
15:47
15:20
15:12
13:51
02:45
16:19


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.077
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.