Обновление безопасности для продуктов Adobe

9/02/2011 04:06

Компания Adobe представила большой набор обновлений безопасности для своих продуктов: Reader, Acrobat, Flash, Shockwave Player и ColdFusion. В пакете обновлений для Adobe Reader и Acrobat устраняется 29 уязвимостей, 23 из них могли вызвать выполнение произвольного программного кода. Большинство устраняемых ошибок было связано с обработкой внедренных в PDF-документ мультимедиа объектов. Причиной критической уязвимости CVE-2011-0599 стали ошибки в модуле "rt3d.dll", возникающие при обработке графических объектов упакованных методом RLE. Также, среди списка обновлений присутствует уязвимость CVE-2010-4091, известная с ноября 2010 года. Уязвимость CVE-2010-4091 позволяла вызвать "отказ от обслуживания" или выполнить произвольный программный код из-за ошибок в работе функции "printSeps()" модуля "EScript.api". Несколько закрытых уязвимостей были специфичны для платформы Macintosh, они также могли вызвать выполнение произвольного кода (CVE-2011-0605) и "отказ от обслуживания" (CVE-2011-0568). Разработчиками Adobe в ходе устранения всех уязвимостей не обнаружена возможность выполнения программного кода в защищенном режиме работы Adobe Reader X. Вторым по числу закрытых уязвимостей стал мультимедиа-проигрыватель Shockwave Player для платформ Windows и Macintosh. Всего в нем была исправлена 21 критическая уязвимость, большинство из них были обнаружены в 2010 году. Все закрытые уязвимости предоставляли возможность злоумышленнику выполнить произвольный программный код. Среди уязвимых модулей Shockwave Player оказались: "dirapi.dll", "IML32", "TextXtra", "Shockwave 3d Asset" и "Font Xtra.x32". 13 критических уязвимостей было закрыто в Adobe Flash Player. Все уязвимости позволяли выполнить произвольный программный код вне зависимости от используемой платформы: Windows, Macintosh, Linux и Solaris. К уязвимым приложениям, требующим обновления, относятся: Flash Player до версии 10.1.102.64 включительно, а также модуль Flash Player в Flash Professional CS5, Flash CS4 Professional и Flex 4. Множественные XSS-уязвимости и возможность раскрытия информации были ликвидированы в системе автоматизации создания интернет-приложений ColdFusion версии 8.0, 8.0.1, 9.0 и 9.0.1 для платформ Windows, Macintosh и UNIX. Так как большинство обновлений носит критический характер, их установка рекомендуется для всех пользователей уязвимых продуктов компании Adobe. Обновления доступны на веб-сайте разработчика и через систему автоматического обновления приложений.
Источник