Adobe公司近日发布了一次重大更新,修复了Windows、Mac OS X和Linux平台上的Flash Player、Reader和Acrobat产品中的共52个漏洞,包括堆溢出漏洞、整数溢出漏洞、类型混淆漏洞、内存泄漏漏洞和use-after-free漏洞等,幸运的是这些漏洞之前并没有被公开利用。
Adobe安全公告称,针对Windows、Mac OS X和Linux平台上的 Flash更新 修复了一些重大漏洞,攻击者利用这些漏洞可远程控制受害者的电脑。Adobe公司建议用户尽快将使用到的这些产品更新到最新版本。
受这些漏洞影响的Adobe产品版本包括以下几种:
Adobe Flash Player 17.0.0.169 及更早版本 Adobe Flash Player 13.0.0.281及比13.x更早版本 Adobe Flash Player 11.2.202.457及比11.x更早版本 AIR桌面运行时17.0.0.144及更早版本 AIR SDK和SDK&编译器17.0.0.144及更早版本
此次更新修复了一个堆溢出漏洞、一个整数溢出漏洞、3个类型混淆漏洞、4个内存泄漏漏洞和1个use-after-free漏洞,该漏洞允许攻击者远程运行代码及控制目标机器。此外,其他漏洞包括两个内存泄漏问题,这将导致绕过ASLR(地址空间布局随机化),以及一个安全绕过漏洞,这将可能导致数据泄漏和三个其他漏洞,这些漏洞将允许攻击者以与用户相同的权限将数据写入文件系统。
通过查看这次解决的Adobe Flash产品漏洞列表,可以看到有可能会产生一种TOCTOU(Time-of-Check Time-of-Use)竞争条件,这使得攻击者能够绕过IE浏览器的保护模式。
在对 Reader和Acrobat更新 的安全公告中,Adobe列举了受这些漏洞影响的产品版本:
Adobe Reader XI (11.0.10) 及比11.x更早的版本 Adobe Reader X (10.1.13) 及比10.x更早的版本 Adobe Acrobat XI (11.0.10) 及比11.x 更早的版本 Adobe Acrobat X (10.1.13) 及比10.x 更早的版本
Adobe安全公告中解释道,其中的一些漏洞可以被用来在受影响的机器上执行任意代码,甚至可以控制这些电脑。同样地, 针对Adobe Reader和Acrobat产品,公司确认存在内存泄漏漏洞、use-after-free漏洞、缓冲区溢出和基于堆的缓冲区溢出漏洞。
此次更新中的一些漏洞危险性很高,为了避免给用户带来重大损失,建议用户尽快将使用到的这些产品更新到最新版本。
* 参考来源 securityaffairs ,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)