Microsoft ha rilasciato 12 update di sicurezza relativi all'ultimo Patch Day del 2015 e Adobe ha chiuso 79 vulnerabilità in Flash Player. La maggior parte dei difetti (56) sono del tipo use-after-free che potrebbero provocare l'esecuzione di codice sulla macchina compromessa. Oltre a queste, Adobe ha patchato anche una dozzina di vulnerabilità di corruzione della memoria, due heap buffer overflows, stack, integer e buffer overflow, in aggiunta ai difetti di security bypass e una vulnerabilità di tipo confusion. Questo è uno dei più grandi update per Flash dopo quello pianificato di agosto.
Secondo il bollettino di Adobe "APSB15-32", questi aggiornamenti risolvono due vulnerabilità heap buffer overflow che potrebbero portare all'esecuzione di codice (CVE-2015-8438, CVE-2015-8446) e dodici vulnerabilità di corruzione della memoria che potrebbero provocare l'esecuzione di codice (CVE-2015-8444, CVE-2015-8443, CVE-2015-8417, CVE-2015-8416, CVE-2015-8451, CVE-2015-8047, CVE -2015-8455, CVE-2015-8045, CVE-2015-8418, CVE-2015-8060, CVE-2015-8419, CVE-2015-8408). Gli altri aggiornamenti risolvono tre vulnerabilità di bypass della sicurezza (CVE-2015-8453, CVE-2015-8440, CVE-2015-8409).
Questi aggiornamenti risolvono due vulnerabilità di overflow dello stack che potrebbe provocare l'esecuzione di codice (CVE-2015-8407, CVE-2015-8457) e due vulnerabilità di tipo confusion che potrebbero provocare l'esecuzione di codice (CVE-2015-8439, CVE-2015-8456). Questi aggiornamenti risolvono una vulnerabilità di integer overflow che potrebbe provocare l'esecuzione di codice (CVE-2015-8445) e una vulnerabilità di buffer overflow che potrebbe provocare l'esecuzione di codice (CVE-2015-8415). I restanti aggiornamenti risolvono numerose vulnerabilità use-after-free che potrebbero provocare l'esecuzione di codice.
Adobe consiglia agli utenti di Adobe Flash Player Desktop Runtime l'aggiornamento di Windows e Macintosh a 20.0.0.228 (supporto per Internet Explorer) e 20.0.0.235 (supporto per Firefox e Safari) visitando l'Adobe Flash Player Download Center, o attraverso il meccanismo di aggiornamento all'interno del prodotto quando richiesto. Adobe consiglia agli utenti di Adobe Flash Player Extended Support di aggiornare alla versione 18.0.0.268 visitando http://adobe.ly/1xNrNab. Adobe consiglia agli utenti di Adobe Flash Player per Linux l'aggiornamento ad Adobe Flash Player 11.2.202.554 visitando l'Adobe Flash Player Download Center.
Adobe Flash Player installato con Google Chrome sarà aggiornato automaticamente alla versione più recente di Google Chrome, che include Flash Player 20.0.0.228 per Windows, Macintosh, Linux e Chrome OS. Adobe Flash Player installato con Microsoft Edge e Internet Explorer per Windows 10 e Windows 8.x verrà aggiornato automaticamente alla versione 20.0.0.228. Adobe consiglia agli utenti Air desktop runtime, Air Sdk e Air Sdk & Compiler l'aggiornamento alla versione 20.0.0.204 visitando l'Air download center o l'Air developer center. Nel mese di agosto, Adobe ha rilasciato un totale di 34 patch per chiudere altrettanti bug in Flash e AIR.
Via: Adobe Blog
Nessun commento:
Posta un commento