Microsoft in occasione del patch day di aprile ha rilasciato 26 di correzioni per Windows, Office ed Internet Explorer. Oracle ha rilasciato patch per risolvere 98 bug di sicurezza nei suoi prodotti, 14 in Java. Nel frattempo, Adobe Systems ha rilasciato il suo pacchetto di correzioni pianificato. Si tratta di tre bollettini di sicurezza che chiudono complessivamente 24 vulnerabilità nei prodotti Flash Player, ColdFusion e Flex. Adobe ha rilasciato update di sicurezza per Flash Player per Windows, Macintosh e Linux. Questi aggiornamenti riguardano 22 bug che potrebbero consentire a un utente malintenzionato di assumere il controllo del sistema interessato.
Adobe è a conoscenza di un rapporto che esiste un exploit in natura (CVE-2015-3043), e consiglia agli utenti di aggiornare le installazioni dei prodotti alle ultime versioni. Gli utenti di Adobe Flash Player runtime desktop per Windows e Macintosh devono aggiornare ad Adobe Flash Player 17.0.0.169. Gli utenti di Adobe Flash Player Extended Support devono aggiornare ad Adobe Flash Player 13.0.0.281. Gli utenti di Adobe Flash Player per Linux devono aggiornare Adobe Flash Player 11.2.202.457. Adobe Flash Player installato con Google Chrome, così come Internet Explorer in Windows 8.x, si aggiornerà automaticamente alla versione 17.0.0.169 quando disponibile.
La vulnerabilità è di tipo zero-day, cioè un bug già conosciuto e sfruttato dagli attaccanti. Nell'advisory APSB15-06, Adobe spiega che questi aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2015-0347, CVE-2015-0350, CVE-2015-0352, CVE-2015-0353, CVE-2015-0354, CVE-2015-0355, CVE-2015-0360, CVE-2015-3038, CVE-2015-3041, CVE-2015-3042, CVE-2015-3043). Una di queste vulnerabilità Zero-day - un difetto per cui una correzione non era ancora disponibile quando cominciò sfruttati. Questi aggiornamenti risolvono una vulnerabilità tipo confusion che potrebbe provocare l'esecuzione di codice (CVE-2015-0356).
Gli aggiornamenti risolvono una vulnerabilità buffer overflow che potrebbe portare all'esecuzione di codice (CVE-2015-0348). Gli aggiornamenti risolvono vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice (CVE-2015-0349, CVE-2015-0351, CVE-2015-0358, CVE-2015-3039). Gli update risolvono vulnerabilità double-free che potrebbero provocare l'esecuzione di codice (CVE-2015-0346, CVE-2015-0359). Gli aggiornamenti risolvono vulnerabilità di double-free che potrebbero essere utilizzati per aggirare ASLR (CVE-2015-0357, CVE-2.015-3.040). Gli update risolvono una vulnerabilità di bypass di sicurezza che potrebbe portare alla divulgazione di informazioni (CVE-2015-3044).
Adobe ha rilasciato update rapidi di sicurezza per le versioni ColdFusion 11 e 10. Nell'advisory APSB15-07, Adobe spiega che questi aggiornamenti rapidi affrontano un problema di convalida dell'input (CVE-2015-0345) che potrebbe essere utilizzato in un attacco cross-site scripting riflesso. Un'importante vulnerabilità (CVE-2015-1773) è stata identificata in JavaScript output dello strumento ASDoc disponibile in Adobe Flex 4.6 e versioni precedenti. Nell'advisory APSB15-08, Adobe spiega che questo bug potrebbe portare a cross-site scripting riflesso. Per rimediare alla vulnerabilità, Adobe consiglia di scaricare il file index.html disponibile qui, applicare le modifiche e distribuire i risultati al proprio sito web.
Nessun commento:
Posta un commento