Flash Player、Reader和Acrobat发布大量安全更新

2015-05-14 152478人围观 ,发现 11 个不明物体 漏洞资讯

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

Adobe公司近日发布了一次重大更新,修复了Windows、Mac OS X和Linux平台上的Flash Player、Reader和Acrobat产品中的共52个漏洞,包括堆溢出漏洞、整数溢出漏洞、类型混淆漏洞、内存泄漏漏洞和use-after-free漏洞等,幸运的是这些漏洞之前并没有被公开利用。

Adobe安全公告称,针对Windows、Mac OS X和Linux平台上的Flash更新修复了一些重大漏洞,攻击者利用这些漏洞可远程控制受害者的电脑。Adobe公司建议用户尽快将使用到的这些产品更新到最新版本。

受影响版本及漏洞信息

受这些漏洞影响的Adobe产品版本包括以下几种:

Adobe Flash Player 17.0.0.169 及更早版本
Adobe Flash Player 13.0.0.281及比13.x更早版本
Adobe Flash Player 11.2.202.457及比11.x更早版本
AIR桌面运行时17.0.0.144及更早版本
AIR SDK和SDK&编译器17.0.0.144及更早版本

此次更新修复了一个堆溢出漏洞、一个整数溢出漏洞、3个类型混淆漏洞、4个内存泄漏漏洞和1个use-after-free漏洞,该漏洞允许攻击者远程运行代码及控制目标机器。此外,其他漏洞包括两个内存泄漏问题,这将导致绕过ASLR(地址空间布局随机化),以及一个安全绕过漏洞,这将可能导致数据泄漏和三个其他漏洞,这些漏洞将允许攻击者以与用户相同的权限将数据写入文件系统。

通过查看这次解决的Adobe Flash产品漏洞列表,可以看到有可能会产生一种TOCTOU(Time-of-Check Time-of-Use)竞争条件,这使得攻击者能够绕过IE浏览器的保护模式。

更新内容

在对Reader和Acrobat更新的安全公告中,Adobe列举了受这些漏洞影响的产品版本:

Adobe Reader XI (11.0.10) 及比11.x更早的版本
Adobe Reader X (10.1.13) 及比10.x更早的版本
Adobe Acrobat XI (11.0.10) 及比11.x 更早的版本
Adobe Acrobat X (10.1.13) 及比10.x 更早的版本

Adobe安全公告中解释道,其中的一些漏洞可以被用来在受影响的机器上执行任意代码,甚至可以控制这些电脑。同样地,针对Adobe Reader和Acrobat产品,公司确认存在内存泄漏漏洞、use-after-free漏洞、缓冲区溢出和基于堆的缓冲区溢出漏洞。

安全建议

此次更新中的一些漏洞危险性很高,为了避免给用户带来重大损失,建议用户尽快将使用到的这些产品更新到最新版本。

* 参考来源securityaffairs,有适当修改,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关推荐
发表评论

已有 11 条评论

取消
Loading...
JackFree

冒个泡,表示我还关注着FB······

174 文章数 147 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php