Η Adobe ανακοίνωσε χθες μια ακόμη zero-day ευπάθεια στην Flash Player εφαρμογή, την οποία η εταιρεία λέει ότι οι επιτιθέμενοι χρησιμοποιούν σε επιθέσεις του πραγματικού κόσμου.
Η Adοbe βαθμολόγησε την ευπάθεια (CVE-2016 με 4.117) ως κρίσιμη και είπε ότι επηρεάζει το Adοbe Flash Player 21.0.0.226 και τις παλαιότερες εκδόσεις του, που τρέχουν σε Windows, Macintosh, Linux και Chrome OS.
Η εταιρεία υποσχέθηκε ένα patch για το Flash, για την Πέμπτη, 12 Μαΐου. Η Adοbe αναφέρει, επίσης, ότι η ευπάθεια είναι σοβαρή, επιτρέποντας σε έναν εισβολέα να κρασάρει και να τερματίσει τη λειτουργία του Flash Player με έναν μη ασφαλή τρόπο που θα μπορούσε να επιτρέψει σε έναν εισβολέα να πάρει τον έλεγχο του προσβεβλημένου συστήματος.
Η εταιρεία δεν το ανέφερε, αλλά αυτό μοιάζει με μια RCE (remote code execution) ευπάθεια, η οποία πλέον τείνει να αφορά τα πιο κρίσιμα Flash σφάλματα. Όμως, απλά κάνουμε εικασίες.
Η Adοbe πλήρωσε τον Genwei Jiang, έναν ερευνητή ασφάλειας από τη FireEye για να ανακαλύψει την ευπάθεια. Ο Jiang, μαζί με τους ερευνητές της Proofpoint, ανακάλυψαν μια παρόμοια Flash zero-day τον περασμένο μήνα. Σε εκείνη την περίπτωση, οι εισβολείς χρησιμοποιούσαν τη zero-day για να κυκλοφορήσουν τις Cerber και Locky οικογένειες ransomware.
Εκτός από την Flash zero-day pre-patch ανακοίνωση, η Adοbe κυκλοφόρησε επίσης και ενημερώσεις ασφαλείας για τα δύο προϊόντα της, μόλις χθες.
Η εταιρεία προώθησε μια επείγουσα επιδιόρθωση για την πλατφόρμα server της ColdFusion εφαρμογής που επιδιόρθωνε τρία θέματα ασφάλειας: CVE-2016-1113, CVE-2016-1114 και CVE-2016-1115.
Επιπλέον, τα Adοbe Acrobat και Reader έλαβαν τον επιβλητικό αριθμό από 92 patches ασφαλείας που απευθύνεται όλα τα είδη των τρωτών σημείων, που κυμαίνονται από θέματα της καταστροφής μνήμης (memory corruption) μέχρι τις use-after-free ευπάθειες.
