Adobe устранила ряд уязвимостей в продуктах Reader и Acrobat

В рамках мартовского «вторника обновлений» компания Adobe выпустила бюллетени безопасности для продуктов Reader и Acrobat, а также приложения Adobe Digital Editions, предназначенного для чтения электронных книг. В данном наборе отсутствуют ставшие привычными патчи для Flash, однако Adobe пообещала представить новую версию медиаплеера уже в «ближайшие дни».

В прошлом месяце в Adobe Flash Player было устранено в общей сложности 22 уязвимости. В основном ошибки были связаны с нарушением целостности памяти или использования после освобождения. Мартовский выпуск получился гораздо скромнее – производитель устранил всего три уязвимости в Reader и Acrobat и одну проблему в Adobe Digital Editions.

Ошибки в Reader/Acrobat были обнаружены участниками проекта Zero Day Initiative компании HP. Две уязвимости CVE-2016-1007 и CVE-2016-1009 связаны с повреждением памяти, третья (CVE-2016-1008) – существует из-за ошибки обхода директории. Эксплуатация данных проблем позволяет удаленному пользователю скомпрометировать систему. Уязвимыми являются следующие продукты:

• Adobe Reader XI 11.0.14 и более ранние версии;

• Adobe Acrobat XI 11.0.14 и ниже;

• Adobe Acrobat Reader DC 15.006.30119 (трек Classic) / 15.010.20059 (трек Continuous) и более ранние версии;

• Adobe Acrobat DC 15.006.30119 (трек Classic) / 15.010.20059 (трек Continuous).

Уязвимость CVE-2016-0954 в Adobe Digital Editions (версия 4.5.0 и более ранние) также связана с повреждением памяти. Эксплуатация ошибки позволяет удаленное выполнение кода. В настоящее время нет информации об активной эксплуатации ошибки. Производитель рекомендует пользователям обновиться до версии 4.5.1.