Microsoft in occasione del patch day di maggio ha rilasciato 13 di correzioni per Windows, Internet Explorer, .NET Framework, Microsoft Office, Microsoft Lync e Microsoft Silverlight. La più grave delle vulnerabilità affrontate potrebbe consentire l'esecuzione di codice in modalità remota se un utente visualizza una pagina Web dannosa. Nel contempo, Adobe Systems ha rilasciato il suo pacchetto di correzioni pianificato. Si tratta di due aggiornamenti critici di sicurezza per Adobe Reader, Acrobat e Flash Player. A entrambi sono stati dati un punteggio di 2 da Adobe. I difetti riguardano versioni del software su Mac, PC e LInux, sostiene Adobe nei security advisory.
Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Reader e Acrobat per Windows e Macintosh. Gli utenti di Adobe Reader XI (11.0.10) e versioni precedenti dovrebbero aggiornare alla versione 11.0.11. Gli utenti di Adobe Reader X (10.1.13) e versioni precedenti dovrebbero aggiornare alla versione 10.1.14. Gli utenti di Adobe Acrobat XI (11.0.10) e versioni precedenti dovrebbero aggiornare alla versione 11.0.11. Gli utenti di Adobe Acrobat X (10.1.13) e versioni precedenti dovrebbero aggiornare alla versione 10.1.14. Nell'advisory APSB15-10, Adobe spiega che questi aggiornamenti risolvono vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice.
Gli aggiornamenti risolvono heap-based buffer overflow (CVE-2014-9160) e una vulnerabilità di buffer overflow che potrebbero portare all'esecuzione di codice (CVE-2015-3048). Una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice e una perdita di memoria (CVE-2015-3058). Risolti vari metodi per bypassare le restrizioni all'esecuzione API Javascript. Un problema null-pointer dereference che potrebbe portare a una condizione di denial-of-service (CVE-2015-3047). Gli aggiornamenti forniscono indurimento aggiuntivo di protezione contro CVE-2014-8452, un bug nella gestione di entità esterne XML che potrebbe portare alla divulgazione di informazioni.
Adobe ha rilasciato gli aggiornamenti di sicurezza per Adobe Flash Player per Windows, Macintosh e Linux. Gli utenti di Adobe Flash Player runtime desktop per Windows e Macintosh dovrebbero aggiornare a Adobe Flash Player 17.0.0.188. Gli utenti di Adobe Flash Player Extended Support Release dovrebbero aggiornare ad Adobe Flash Player 13.0.0.289. Gli utenti di Adobe Flash Player per Linux dovrebbero aggiornare ad Adobe Flash Player 11.2.202.460. Adobe Flash Player installato con Google Chrome, così come Internet Explorer in Windows 8.x, si aggiornerà automaticamente alla versione 17.0.0.188. Gli utenti del runtime di Adobe AIR desktop runtime dovrebbero aggiornare alla versione 17.0.0.172.
Gli utenti di Adobe AIR SDK e AIR SDK & Compiler dovrebbero aggiornare alla versione 17.0.0.172. Nell'advisory APSB15-09, Adobe spiega che questi aggiornamenti risolvono vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice. Una vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2015-3088). Gli aggiornamenti risolvono una time-of-check time-of-use (TOCTOU) race che potrebbe essere sfruttata per bypassare la modalità protetta di Internet Explorer (CVE-2015-3081). Risolti problemi di bypass di convalida che possono essere sfruttati per scrivere dati arbitrari per il file system sotto le autorizzazioni degli utenti.
Gli aggiornamenti risolvono una vulnerabilità di integer overflow che potrebbe provocare l'esecuzione di codice (CVE-2015-3087). Gli aggiornamenti risolvono una vulnerabilità di tipo confusion che potrebbe provocare l'esecuzione di codice. Gli aggiornamenti risolvono una vulnerabilità-use-after-free che potrebbe provocare l'esecuzione di codice (CVE-2015-3080). Gli aggiornamenti risolvono vulnerabilità di perdita di memoria che potrebbe essere utilizzata per aggirare ASLR. Gli aggiornamenti risolvono una vulnerabilità di bypass di sicurezza che potrebbe portare alla divulgazione di informazioni (CVE-2015-3079), e forniscono ulteriore indurimento per la protezione contro CVE-2015-3044.
Via: Adobe Blog
Nessun commento:
Posta un commento