Ενώ πολλοί ειδικοί σε θέματα ασφάλειας λένε ότι η Adobe θα πρέπει να διακόψει την κυκλοφορία του Flash και να μας γλιτώσει έτσι όλους από ένα τέτοιο βάρος, η εταιρεία φαίνεται να είναι καθηλωμένη στην απόφασή της υποστηρίζοντας το Flash. Έτσι, χθες εξέδωσε μια ακόμη ενημέρωση ασφαλείας, διορθώνοντας πλέον αυτόν το μήνα 12 κρίσιμου επιπέδου κενά ασφαλείας.
Η ενημέρωση έφτασε ακριβώς πάνω στην ώρα, την ίδια ημέρα, που και η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για τα προϊόντα της.
Λαμβάνοντας υπόψη ότι η Adobe χαρακτήρισε το πρόσφατο patch ως «Priority 1» και «Critical», πρόκειται για μία «must update» έκδοση του Flash, την οποία οι χρήστες δεν θα πρέπει να καθυστερήσουν να εγκαταστήσουν.
Οι ήρωες αυτού του μήνα είναι ερευνητές ασφαλείας από εταιρείες όπως οι Tencent, Palo Alto Networks, COSIG, CloverSec Labs και Trend Micro, οι οποίοι αφιέρωσαν χρόνο για να αναφέρουν τις ευπάθειες του Flash.
Έντεκα από τις δώδεκα ευπάθειες που διόρθωσε η Adobe αυτό το μήνα, οδηγούσαν σε απομακρυσμένη εκτέλεση κώδικα στον υπολογιστή του χρήστη, οι οποίες θα μπορούσαν δυνητικά να επιτρέψουν σε έναν εισβολέα να πάρει τον έλεγχο του προσβεβλημένου συστήματος.
Η Adobe patchαρε μια type confusion ευπάθεια (CVE-2016-6992), use-after-free ευπάθειες (CVE-2016-6981, CVE-2016-6987) και memory corruption θέματα (CVE-2016-4273, CVE-2016-6982, CVE-2016-6983, CVE-2016-6984, CVE-2016-6985, CVE-2016-6986, CVE-2016-6989, CVE-2016-6990). Το δωδέκατο θέμα ήταν μια παράκαμψη των μέτρων ασφαλείας του Flash (CVE-2016-4286), το οποίο είναι επίσης κάτι που οι χρήστες θα ήθελαν να αποφύγουν.
Δεν υπάρχουν πληροφορίες που να δείχνουν ότι αυτές οι ευπάθειες έχουν χρησιμοποιηθεί σε live επιθέσεις πριν από το October patch της Adοbe.
Οι ενημερώσεις για το Flash, που τρέχουν σε Windows, Mac και Linux, έχουν κυκλοφορήσει και είναι διαθέσιμες για λήψη. Η πιο πρόσφατη έκδοση του Adobe Flash Player είναι η 23.0.0.185 για τα Windows και Mac και η 11.2.202.637 για Linux distros.
Εκτός από το Flash Player και άλλα Adοbe προϊόντα έλαβαν patches ασφαλείας. Ο κατάλογος περιλαμβάνει το Creative Cloud Desktop Application της Adοbe και το Adοbe Acrobat and Reader.
Για το Creative Cloud Desktop Application, η Adobe διόρθωσε την CVE-2016-6935, η οποία είναι ένα ζήτημα χαμηλής προτεραιότητας που επιλύει μία unquoted ευπάθεια στη διαδρομή της αναζήτησης. Η Adοbe λέει ότι ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτό το ελάττωμα να επιτύχει τοπική κλιμάκωση προνομίων και να αποκτήσει επιπλέον δικαιώματα.
Οι μηχανικοί της εταιρείας απασχολήθηκαν περισσότερο με τις Adοbe Acrobat and Reader εφαρμογές, όπου διόρθωσαν 71 κενά ασφαλείας που κυμαίνονταν από παράκαμψη περιορισμών μέχρι την εκτέλεση απομακρυσμένου κώδικα.
