Adobe rilascia tre bollettini che risolvono 26 difetti in Flash e Reader


In occasione del Patch day di marzo, Microsoft ha rilasciato 13 bollettini per risolvere 44 vulnerabilità che affliggono diversi suoi prodotti, tra cui il nuovo sistema operativo Windows 10. Anche Adobe ha rilasciato tre bollettini di sicurezza che risolvono complessivamente 26 vulnerabilità nei suoi prodotti Flash Player, Acrobat e Reader e Adobe Digital Editions. Il mese scorso, Adobe ha patchato 32 difetti in diversi suoi prodotti, alcuni dei quali relativi alla corruzione di memoria. Il trio di vulnerabilità che colpiscono Acrobat e Reader sono stati resi noti in privato ad Adobe dai ricercatori della Zero Day Initiative di HP e nessuno di questi problemi è stato finora avvistato in natura.

Delle 22 vulnerabilità che colpiscono Flash Player, alcune potrebbero essere sfruttate per prendere il controllo dei computer.  Il primo bollettino APSB16-09, che riguarda Acrobat Reader DC ed Acrobat Reader per Windows e Macintosh, risolve tre vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2016-1007, CVE-2016-1009) e una vulnerabilità nel percorso di ricerca delle directory utilizzato per trovare le risorse che potrebbero provocare l'esecuzione di codice (CVE-2016-1008). I prodotti si aggiorneranno automaticamente, senza richiedere l'intervento dell'utente, quando vengono rilevati gli aggiornamenti.

Il secondo bollettino APSB16-06, che riguarda Adobe Digital Editions per Windows, Macintosh, iOS e Android, risolve una vulnerabilità di corruzione della memoria che potrebbe provocare l'esecuzione di codice (CVE-2016-0954). I clienti che utilizzano Adobe Digital Editions su Windows possono scaricare l'aggiornamento dalla pagina di download, o utilizzare il meccanismo di aggiornamento del prodotto quando richiesto. Il terzo bollettino, APSB16-08, che riguarda Adobe Flash Player per Windows, Macintosh e Linux, risolve tre vulnerabilità di integer overflow che potrebbero portare all'esecuzione di codice (CVE-2016-0963, CVE-2016-0993, CVE-2016-1010).

L'ultimo exploit viene utilizzato in attacchi limitati e mirati. Gli altri aggiornamenti risolvono 11 vulnerabilità use-after-free  che potrebbe provocare l'esecuzione di codice (CVE-2016-0987, CVE-2016-0988, CVE-2016-0990, CVE-2016-0991, CVE-2016-0994, CVE-2016- 0995, CVE-2016-0996, CVE-2016-0997, CVE-2016-0998, CVE-2016-0999, CVE-2016-1000), una vulnerabilità di heap overflow che potrebbe provocare l'esecuzione di codice (CVE-2016-1001), ed infine 8 vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2016-0960, CVE-2016-0961, CVE-2016-0962, CVE-2016-0986, CVE-2016-0989, CVE-2016-0992, CVE -2016-1002, CVE-2016-1005).

Il difetto che deriva da una condizione di heap overflow è stato segnalato ad Adobe dai ricercatori di Kaspersky Lab. Adobe consiglia agli utenti di aggiornare le proprie installazioni Flash Player alla versione 21.0.0.182 per Windows o Mac e la versione 11.2.202.577 per Linux. Flash Player con supporto esteso è stato aggiornato alla versione 18.0.0.133. I plug-in di Flash Player in bundle con Google Chrome, Internet Explorer e Microsoft Edge verranno aggiornati automaticamente attraverso i meccanismi di update dei browser. Adobe ha rilasciato anche la versione 21.0.0.176 di AIR desktop runtime, AIR SDK, AIR SDK & Compiler e AIR per Android. Visitare la pagina di aiuto Flash Player per l'assistenza nell'installazione di Flash Player.


Nessun commento:

Posta un commento