Η Adobe ανακοίνωσε την μηνιαία ενημέρωση ασφάλειας – διορθώνει 35 ευπάθειες στον Flash και τον AIR, στις οποίες περιλαμβάνονται κάποιες κρίσιμες, που θα μπορούσαν να επιτρέψουν σε hackers να εκτελέσουν κώδικα στα ευπαθή συστήματα.
Η εταιρεία εξήγησε στο συμβουλευτικό δελτίο ασφάλειας στις 11 Αυγούστου πως οι συγκεκριμένες αδυναμίες κυμαίνονται σε κλίμακα επικινδυνότητας από 1, τον υψηλότερο βαθμό επικινδυνότητας για την Adobe, έως και 3.
Περιλαμβάνουν use-after-free, type confusion, heap buffer overflow, integer overflow καθώς και memory corruption bugs- κάθε ένα εκ των οποίων μπορεί να οδηγήσει σε εκτέλεση κώδικα. Παρότι κανένας ως τώρα δεν είχε εντοπίσει κάποιο exploit στα παραπάνω bugs, μετά την δημοσιοποίηση των ευπαθειών αλλά και της κρισιμότητάς τους η Adobe πιστεύει πως δεν θα μείνουν για πολύ ανεκμετάλλευτες.
Η ενημερωμένη έκδοση APSB15-19 επηρεάζει τα Windows, τα Mac, τα Linux, τα Android, και τα iOS.
Στην πραγματικότητα, υπάρχει μια ακόμη και για τον νέο Edge browser, με μια τρύπα στον Flash Player για τον Microsoft Edge και τον Internet Explorer 11 στα Windows 10 που λαμβάνει επίσης μια υψηλή κατάταξη στην κλίμακα επικινδυνότητας.
Ο AIR επηρεάζεται με λιγότερο σημαντικό τρόπο, με ευπάθειες που πλήττουν το AIR Desktop Runtime, AIR SDK & Compiler, με όλα να βαθμολογούνται στο 3.
Ο γίγαντας του λογισμικού αναγνώρισε την βοήθεια ερευνητών από την Fortinet, το Project Zero της Google, το Qihoo 360 και το Alibaba στο να εντοπίσει τις ευπάθειες που διορθώθηκαν στη συγκεκριμένη ενημέρωση.
Κάτι που έρχεται σε πλήρη αντίθεση με τους θορύβους που προκλήθηκαν από την Oracle τις τελευταίες μέρες. Μια ανάρτηση σε ιστολόγιο από την YAE Mary Ann Davidson προειδοποιούσε τους ερευνητές να μην προσπαθήσουν να βρουν τα hackable τρωτά σημεία στο λογισμικό τους συστήματος καθώς η αντίστροφη μηχανική αποτελεί παραβίαση των συμφωνιών άδειας εκμετάλλευσης.
«Δεν θα παρέχουμε καμία πίστωση σε οποιοδήποτε advisory που μπορεί να εκδοθεί, δεν μπορείτε πραγματικά να περιμένετε από εμας να σας ευχαριστήσουμε που σπάτε την άδεια.» γράφει στην δημοσίευση της.
Η ανακοίνωση διαγράφηκε βιαστικά από την Oracle και μια δήλωση από τον VP Edward Screven προσπάθησε να γεφυρώσει το χάσμα που προέκυψε στην κοινότητα, ισχυριζόμενος πως η εταιρεία «έχει ένα ισχυρό πρόγραμμα διασφάλισης της ασφάλειας των προϊόντων και συνεργάζεται με τρίτους ερευνητές καθώς και τους πελάτες ώστε να διασφαλίσουν από κοινού το ότι οι εφαρμογές που έχουν δημιουργηθεί με την τεχνολογία της Oracle είναι ασφαλείς.
