martedì 13 ottobre 2015

Adobe: 2 bollettini chiudono 69 bug critici in Flash, Reader e Acrobat


Microsoft ha rilasciato gli aggiornamenti relativi al Patch Day di ottobre 2015 e Adobe ha rilasciato 2 bollettini di sicurezza che patchano 69 vulnerabilità critiche nei suoi software, molte delle quali possono causare la divulgazione di informazioni e l'esecuzione di codice. Secondo Adobe nessuno dei difetti sono attualmente sfruttati in natura. Tredici bug riguardano Adobe Flash Player mentre 56 coinvolgono Acrobat e Reader di Adobe, compresi i suoi prodotti DC, XI e X, per entrambi i sistemi operativi Windows e Mac OS X. Se sfruttati, molti delle vulnerabilità, tra cui corruzione della memoria, buffer overflow dello heap, e problemi use-after-free, potrebbero portare all'esecuzione di codice.

All'inizio di questa estate la società ha patchato 13 criticità in Flash Player. Nell'advisory APSB15-25, Adobe consiglia agli utenti di aggiornare Adobe Flash Player Desktop Runtime per Windows e Macintosh ad Adobe Flash Player 19.0.0.207 visitando l'Adobe Flash Player Download Center o tramite il meccanismo di aggiornamento automatico integrato nel prodotto quando richiesto. Adobe consiglia agli utenti di Adobe Flash Player Extended Support di aggiornare Adobe Flash Player Extended alla versione 18.0.0.252 visitando http://adobe.ly/1xNrNab. Adobe consiglia agli utenti di Adobe Flash Player per Linux di aggiornare ad Adobe Flash Player 11.2.202.535 visitando l'Adobe Flash Player Download Center.  

Adobe Flash Player installato con Google Chrome sarà aggiornato automaticamente alla versione più recente di Google Chrome, che include Flash Player 19.0.0.207 su Windows, Macintosh, Linux e Chrome OS. Adobe Flash Player installato con Microsoft Edge per Windows 10 verrà aggiornato automaticamente alla versione più recente, che include Adobe Flash Player 19.0.0.207. Flash Player installato con Internet Explorer 10 e 11 per Windows 8 e 8.1 sarà aggiornato automaticamente alla versione più recente, che include Flash Player 19.0.0.207. Adobe consiglia agli utenti di Air desktop runtime, Air Sdk e Air Sdk e compilator di aggiornare alla versione 19.0.0.213 visitando l'Air download center  o  l'Air developer center

Gli altri aggiornamenti risolvono una vulnerabilità che potrebbe essere sfruttata per bypassare la same-origin-policy e causare la divulgazione di informazioni (CVE-2015-7628). Gli aggiornamenti includono una funzionalità di defense-in-depth in Flash broker API (CVE-2015-5569). Gli altri aggiornamenti risolvono quattro vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice (CVE-2015-7629, CVE-2015-7631, CVE-2015-7643, CVE-2015-7644). Gli altri aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe provocare l'esecuzione di codice (CVE-2015-7632). I restanti aggiornamenti risolvono alcune vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice. 

Nell'advisory APSB15-24, Adobe consiglia agli utenti di aggiornare Adobe Acrobat DC (Continuous Track) per Windows e Macintosh ad Acrobat DC 2015.009.20069 visitando l'Acrobat Reader Download Center. Adobe consiglia agli utenti di aggiornare Acrobat Reader DC (Continuous Track) a Reader DC 2015.009.20069 visitando http://adobe.ly/1X13YVG. Adobe consiglia agli utenti di aggiornare Acrobat DC Classic alla versione 2015.006.30094. Adobe consiglia agli utenti di aggiornare Acrobat XI Desktop alla versione 11.0.13 e Reader XI Desktop alla versione 11.0.13. Adobe consiglia agli utenti di Acrobat Desktop di aggiornare alla versione 10.1.16 e Adobe Reader X Desktop alla versione 11.0.13. 

Gli aggiornamenti risolvono una vulnerabilità di buffer overflow che potrebbe portare alla divulgazione di informazioni (CVE-2015-6692) e vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice (CVE-2015-6689, CVE-2015-6688, CVE-2015-6690, CVE-2015-7615, CVE-2015-7617, CVE-2015-6687, CVE-2015-6684, CVE-2015-6691, CVE-2015-7621, CVE-2015-5586, CVE-2015-6683). Gli aggiornamenti risolvono problemi di heap buffer overflow che potrebbero portare all'esecuzione di codice (CVE-2015-6696, CVE-2015-6698) e vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2015-6685, CVE-2015-6693, CVE-2015-6694, CVE-2015-6695, CVE-2015-6686, CVE-2015-7622) .

Questi aggiornamenti risolvono vulnerabilità di memory leak (CVE-2015-6699, CVE-2015-6700, CVE-2015-6701, CVE-2015-6702, CVE-2015-6703, CVE-2015-6704, CVE-2015-6697). Gli altri aggiornamenti risolvono vulnerabilità di security bypass che potrebbero portare alla divulgazione di informazioni (CVE-2015-5583, CVE-2015-6705, CVE-2015-6706, CVE-2015-7624). I restanti aggiornamenti risolvono vari metodi per bypassare le restrizioni della Javascript API execution. Questo è il secondo lotto di protezione che l'Adobe PSIRT ha spinto nelle ultime tre settimane. A metà settembre la società ha fissato altre vulnerabilità critiche nel suo plugin Shockwave Player che consente di visualizzare i contenuti multimediali creati con Adobe Director.




Nessun commento:

Posta un commento