Бреши позволяли удаленно выполнить код и получить контроль над системой.
Автор: Александр Антипов
Во вторник, 10 ноября, состоялся плановый выпуск бюллетеней безопасности компании Adobe. В общей сложности в Flash Player было исправлено 17 критических уязвимостей, которые позволяли злоумышленникам удаленно выполнить код и получить контроль над системой. 15 из них существовали из-за ошибки использования после высвобождения, а оставшиеся две были связаны с проблемой при обработке шрифтов и обходом функции безопасности. По данным Adobe, бреши не эксплуатировались злоумышленниками.
Обновление получил Flash для платформ Windows, Mac OS X и Linux, для браузеров Internet Explorer 11 и Microsoft Edge, а также различных продуктов Adobe Air для iOS и Android.
Одна из уязвимостей (CVE-2015-7663) была обнаружена исследователями компании Endgame. Как отметил директор по исследованиям брешей Коди Пирс (Cody Pierce), с точки зрения хакера, Flash предоставляет «впечатляющие возможности для доступа». По словам Пирса, этому способствуют несколько факторов:
Кроссплатформенность.
Кроссбраузерность.
Возможность внедрять Flash в другие документы и форматы.
Возможность использовать различные языки программирования.
Большой объем кода и наличие уязвимостей.
Напомним, что недавно опубликованное исследование подтверждает небезопасность Flash, несмотря на регулярные выпуски исправлений.
Ладно, не доказали. Но мы работаем над этим