Во вторник, 9 сентября, вышла новая версия Adobe Shockwave Player, в которой были устранены две уязвимости повреждения памяти. Используя данные бреши, можно было осуществить удаленное выполнение кода и получить полный контроль над системой.
Уязвимостям был подвержен Adobe Shockwave Player 12.1.9.160 для Windows, а также более ранние версии. Специалисты рекомендуют пользователям как можно быстрее осуществить обновление проигрывателя до версии 12.2.0.162. На данный момент нет никаких свидетельств использования данных уязвимостей.
Источником уязвимостей является некорректная проверка данных, вводимых пользователем. Чтобы использовать уязвимости, злоумышленник мог заставить жертву зайти на веб-сайт, где содержится вредоносный Shockwave-контент. Обработка подобного контента могла повлечь повреждение памяти, которое, в свою очередь, позволяло хакеру выполнить код, имея права пользователя. Результатом успешной атаки был захват хакером полного контроля над системой.
Стоит отметить, что это уже третье исправление, которое было выпущено Adobe за последние недели. 18 августа вышел патч, устраняющий брешь в инструменте для разработки приложений Adobe LiveCycle Data Services. Уязвимость находилась в Apache Flex BlazeDS. 27 августа ту же уязвимость исправили в ColdFusion.