Внеочередные патчи Adobe

В связи с публикацией двух уязвимостей «нулевого дня» Adobe внесла изменения в график выпуска обновлений и закроет критические «дыры» досрочно.

Одна из этих уязвимостей (CVE-2010-2883) актуальна для Adobe Reader 9.3.4 и более ранних версий, работающих на платформах Windows, Mac OS и UNIX, а также Acrobat 9.3.4 и ниже под Windows and Mac. Она проявляется при неправильной обработке шрифта и приводит к переполнению стека. Эксплойт к CVE-2010-2883 и способ загрузки вредоносного контента были вкратце описаны в нашем блоге. Adobe планирует подготовить соответствующую «заплатку» к 4 октября, а пока для нейтрализации эксплойтов советует пользователям Windows воспользоваться набором инструментов EMET (Enhanced Mitigation Evaluation Toolkit) от Microsoft.

Детали уязвимости CVE-2010-2884, связанной с ошибкой в обработке flash-данных, пока не обнародованы. Известно лишь, что она позволяет выполнить произвольный код на удаленной системе. Данная уязвимость присутствует в Adobe Flash Player 10.1.82.76 и ниже на платформах Windows, Macintosh, Linux и Solaris, а также в Adobe Flash Player 10.1.92.10 под Android. CVE-2010-2884 также может сработать при использовании Adobe Reader 9.3.4 под Windows, Mac OS и UNIX или Adobe Acrobat 9.3.4 и ниже под Windows и Mac, хотя таких случаев пока не зафиксировано. Патч для Flash Player должен быть готов к 27 сентября, для Adobe Reader и Acrobat — к 4 октября.

Обе названные уязвимости уже активно эксплуатируются ITW. В связи с подготовкой экстренных патчей выпуск квартального пакета обновлений, который Adobe предполагала сформировать к 12 октября, отменен.