Во вторник, 11 октября, Adobe выпустила ежемесячные плановые обновления для своих продуктов. Октябрьский релиз состоит из трех уведомлений безопасности (APSB16-32, APSB16-33 и APSB16-34), исправляющих 84 уязвимостей в Flash Player, Acrobat, Reader и Creative Cloud для настольных компьютеров. Все уязвимости известны и не являются 0-day.
Львиная доля уязвимостей (71) пришлась на Reader и Acrobat. 20 из них позволяют вызвать использование памяти после высвобождения и, как следствие, выполнить код. Эксплуатация CVE-2016-6939 и CVE-2016-6994 позволяет вызвать переполнение буфера и выполнить код. CVE-2016-6957 представляет собой методы обхода ограничений в выполнении Javascript. Уязвимость целочисленного переполнения CVE-2016-6999 позволяет выполнить код, а уязвимость CVE-2016-6958 – обойти механизмы безопасности. Остальные проблемы связаны с повреждением памяти и могут использоваться злоумышленниками для выполнения кода.
В Flash Player было исправлено 12 уязвимостей, позволяющих выполнить код. CVE-2016-6992 возникает из-за несоответствия используемых типов данных (type confusion). CVE-2016-6981 и CVE-2016-6987 приводят к использованию памяти после высвобождения, а CVE-2016-4286 позволяет обойти механизмы безопасности. CVE-2016-4273, CVE-2016-6982, CVE-2016-6983, CVE-2016-6984, CVE-2016-6985, CVE-2016-6986, CVE-2016-6989 и CVE-2016-6990 могут использоваться для повреждения памяти.
В Creative Cloud для настольных компьютеров, работающих под управлением Windows, исправлена только одна уязвимость (CVE-2016-6935), с помощью которой локальный пользователь может повысить свои привилегии на системе. (Adobe/NovostIT)
