Adobe устранила критические уязвимости во Flash и Framemaker - «Новости»

Не только компания Microsoft выпускает обновления для своих продуктов во второй вторник месяца. Разработчики Adobe тоже исправили ряд серьезных проблем в составе Flash Player, Framemaker и Experience Manager.

Во Flash Player, обновления безопасности для которого продолжат выходить лишь до конца текущего года, была устранена критическая use-after-free уязвимость. Проблема позволяла злоумышленнику выполнить произвольный код в контексте текущего пользователя. Патч для этой уязвимости включен в состав Flash Player 32.0.0.387 (в том числе для Chrome, Edge и Internet Explorer).

В процессоре документов Adobe FrameMaker были исправлены сразу три критических уязвимости, включая две проблемы out-of-bounds записи, которые допускают выполнение произвольного кода, а также ошибку нарушения целостности информации в памяти, которая тоже может быть использована для выполнения кода.

В решении для управления контентом Adobe Experience Manager было устранено шесть XSS-багов,  а также уязвимость, связанная с подделкой запросов на стороне сервера (server-side request forgery, SSRF). Все эти уязвимости оцениваются как важные. Так, XSS-проблемы можно использовать для выполнения произвольного кода jаvascript в браузере пользователя, а SSRF для получения конфиденциальной информации.

Adobe сообщает, что эти уязвимости не находились под атаками и не использовались злоумышленниками.

Напомню, что на этой неделе патчи для своих продуктов представили и другие производители. Так, июньский «вторник обновлений» стал самым крупным за всю историю Microsoft: было исправлено сразу 129 проблем.

Разработчики SAP выпустили 17 бюллетеней безопасности, и подготовили исправления для Apache Tomcat (CVE-2020-1938), двух багов в SAP Commerce (CVE-2020-6265, CVE-2020-6264), уязвимости в SAP Success Factors (CVE-2020-6279), а также проблемы в NetWeaver (CVE-2020-6275).

Компания Intel исправила более 20 различных уязвимостей, включая баги в  Innovation Engine (CVE-2020-8675) и Special Register Buffer (CVE-2020-0543). Последняя проблема получила название CrossTalk, и она позволяет «сливать» конфиденциальные данные  из анклавов SGX.