Η Adobe επιδιόρθωσε έξι ευπάθειες στην τελευταία ενημέρωση ασφαλείας του Flash Player, την 16.0.0.235, ενώ για μία από αυτές κυκλοφορεί ήδη exploit.
Η ευπάθεια CVE-2014 – 9163, που αναφέρθηκε από τον bilou από το HP Zero Day Initiative (ZDI), είναι stack-based buffer overflow bug που μπορεί να χρησιμοποιηθεί για να εκτελέσει αυθαίρετο κώδικα στο σύστημα.
Δεν υπάρχουν περισσότερες λεπτομέρειες αυτή τη στιγμή, αλλά στους χρήστες συνιστάται να εγκαταστήσουν την τελευταία έκδοση του Flash, το συντομότερο δυνατό. Ο Google Chrome (ανεξάρτητα από το λειτουργικό σύστημα) και ο Internet Explorer εφαρμόζουν την νέα έκδοση αυτόματα, μέσω του ενσωματωμένου μηχανισμού ενημέρωσης.
Η εταιρεία ενημερώνει με δελτίο ασφαλείας ότι δεν είναι ευάλωτες όλες οι προηγούμενες εκδόσεις του προγράμματος και ότι οι χρήστες που έχουν ήδη εγκαταστήσει την έκδοση 15.0.0.246 είναι εκτός της επικίνδυνης ζώνης σχετικά με το CVE-2014-9163. Παρ ‘όλα αυτά, η νέα αναβάθμιση πρέπει να εφαρμοστεί, διότι ενσωματώνει και άλλες επιδιορθώσεις ασφαλείας.
Τα περισσότερα από τα μειονεκτήματα που επιδιορθώνονται θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να εκτελέσει αυθαίρετο κώδικα στα επηρεαζόμενα συστήματα. Για τον περιορισμό του κινδύνου αυτού, η εταιρεία ασχολήθηκε με δύο ζητήματα memory corruption και με ένα ζήτημα use-after-free glitch.
Δύο επιπλέον patches αναφέρονται σε μια ευπάθεια αποκάλυψης πληροφοριών (CVE-2014-9162) και σε μια ευπάθεια που επέτρεψε το expoitation (CVE-2014-0580), η οποία δεν επιτρέπει παρεμβολές από κώδικα εκτός της εφαρμογής.
Η νεότερη ενημέρωση ασφάλειας Flash είναι η 16.0.0.235 για πλατφόρμες Windows και Mac, για την οποία ταξινομήθηκε ως κορυφαίας προτεραιότητας από τον δημιουργό. Στην περίπτωση του Linux, η τελευταία έκδοση είναι η 11.2.202.425 και συνιστάται από την Adobe η εγκατάστασή του από τους διαχειριστές «κατά την κρίση τους».
Σε περίπτωση που η λειτουργία αυτόματης ενημέρωσης δεν είναι ενεργοποιημένη, η τελευταία ενημέρωση του Flash Player πρέπει να εγκατασταθεί χειροκίνητα.
Εκτός από το Flash, η Adobe κυκλοφόρησε επίσης από 20 patches για τα προϊόντα Reader και Acrobat και αυξάνει τον αριθμό έκδοσης σε 11.0.10.
Ένα από τα ζητήματα που επιδιορθώνονται έχει λάβει το αναγνωριστικό CVE-2014-9150, και θα μπορούσε να επιτρέψει σε έναν εισβολέα να παρακάμψει το μηχανισμό προστασίας sandbox και να γράψει κώδικα σε περιοχές του συστήματος, μέσω μιας επίθεσης NTFS junction.
Ωστόσο η εκμετάλλευση αυτής της ευπάθειας σε μια προηγούμενη έκδοση του Adobe Reader είναι σχεδόν αδύνατη, επειδή η εταιρεία υλοποίησε τροποποιήσεις που προλαμβάνουν την επίθεση, σύμφωνα με τον James Forshaw του Google Project Zero, ο οποίος αποκάλυψε το ζήτημα.
