وصله کردن آسیب‌پذیری‌های حیاتی در فلش و آکروبات و ریدر توسط شرکت ادوبی

شرکت ادوبی امروز به‌روزرسانی‌های امنیتی خود را برای Flash Player ،Acrobat ،Reader و XMP for Java منتشر کرد تا چندین آسیب‌پذیری حیاتی را که بر کاربران ویندوز، مک، OS X و لینوکس تأثیر می‌گذارند برطرف کند.

شرکت ادوبی درمجموع ۵۴ حفره امنیتی در Flash Player را برطرف کرده است که شامل آسیب‌پذیری‌هایی است که به وسیله‌ای بهره‌برداری‌ها مورد استفاده قرار می‌گیرند و یا اینکه دارای خطرات امنیتی زیادی هستند. مشکلات مربوط به Adobe Flash Player ۲۲.۰.۰.۲۰۹ و همچنین Flash Player Extended Support Realease ۱۸.۰.۰.۳۶۶ برای ویندوز و مک و Adobe Flash Player برای لینوکس ۱۱.۲.۲.۰۲.۶۳۲ برطرف شده‌اند. همچنین آسیب‌پذیری‌ها در نسخه ۲۲.۰.۰.۲۰۹ از Adobe Flash Player برای گوگل کروم ویندوز، مکینتاش، لینوکس وسامانه عامل کروم و Adobe Flash Player برای مایکروسافت اج و اینترنت اکسپلورر ۱۱ برای ویندوز ۱۰ و ۸.۱ وصله شده‌اند.

این به‌روزرسانی، حفره‌های نابسامانی (CVE-۲۰۱۶-۴۲۲۳ ،CVE- ۲۰۱۶-۴۲۲۴ ،CVE-۲۰۱۶-۴۲۲۵)، حفره‌های use-after-free

(CVE-۲۰۱۶-۴۱۷۳ ،CVE-۲۰۱۶-۴۱۷۴ ،CVE-۲۰۱۶-۴۲۲۲ ،CVE-۲۰۱۶-۴۲۲۶ ،CVE-۲۰۱۶-۴۲۲۷ ،CVE-۲۰۱۶-۴۲۲۸ ،CVE-۲۰۱۶-۴۲۲۹ ،CVE-۲۰۱۶-۴۲۳۰ ،CVE-۲۰۱۶-۴۲۳۱ ،CVE-۲۰۱۶-۴۲۴۸)

یک آسیب‌پذیری سرریز پشته بافر (CVE-۲۰۱۶-۴۲۴۹)، مشکلات خرابی پشته (CVE-۲۰۱۶-۴۱۷۶ ،CVE-۲۰۱۶-۴۱۷۷) و ۳۳ آسیب‌پذیری خرابی حافظه را که می‌توانستند منجر به اجرای کد شوند، وصله کرده‌اند.

علاوه بر این، شرکت ادوبی یک آسیب‌پذیری شرایط رقابتی را که منجر به افشای اطلاعات می‌شد (CVE-۲۰۱۶-۰۴۲۴۷)، یک آسیب‌پذیری نشت حافظه (CVE-۲۰۱۶-۴۲۳۲) و یک آسیب‌پذیری دور زدن امنیت را که می‌تواند منجر به افشای اطلاعات شود (CVE-۲۰۱۶-۴۱۷۸) در Flash Player وصله کرده است. همچنین از کاربران خواسته شده است تا runtime را از طریق کانال‌های رسمی به‌روزرسانی کنند تا در امنیت قرار داشته باشند.

در مجموع ۳۰ حفره‌ی امنیتی در Acrobat و Reader برای ویندوز و Mac OS X برطرف شده است که طبق مشاوره‌نامه‌ی منتشرشده توسط ادوبی بیشتر آن‌ها می‌تواند منجر به اجرای کد شده و به مهاجمان اجازه دهند تا کنترل کامل دستگاه آلوده‌شده را به دست گیرند. وصله‌های جدید هم برای نسخه‌های Continuous و هم Classic منتشر شده و هم برای Acrobat XI و هم Reader XI عرضه شده‌اند.

آسیب‌پذیری‌های وصله شده شامل یک مشکل سرریز عدد صحیح (CVE-۲۰۱۶-۴۲۱۰) یک آسیب‌پذیری (use-after-free (CVE-۲۰۱۶-۴۱۹۰ و یک حفره‌ی سرریز بافر پشته (CVE-۲۰۱۶-۴۲۰۹) به همراه ۲۶ آسیب‌پذیری خرابی حافظه هستند. به‌علاوه وصله‌های امنیتی، شیوه‌های مختلف دور زدن محدودیت‌ها را در اجرای Javascript API برطرف کرده‌اند (CVE-۲۰۱۶-۴۲۱۵).

همچنین در نرم‌افزارهای Acrobar DC و Acrobat Reader DC ۱۵.۰۱۷.۲۰۰۵۰ (نسخه Continuous) و ۱۵.۰۰۶.۳۰۱۹۸ (نسخه Classic) و در Acrobat XI و Reader XI ۱۱.۰.۱۷ (نسخه رومیزی) مشکلات فوق برطرف شده‌اند.

اگرچه در حال حاضر هیچ نوع بهره‌برداری از این حفره‌ها گزارش نشده است، اما به کاربران توصیه شده است که نرم‌افزارهای مذکور را برای حفظ امنیت خود به‌روزرسانی کنند.

به‌روزرسانی امنیتی منتشر شده برای جعبه‌ابزار Adobe XMP برای جاوا نیز یک آسیب‌پذیری مهم مربوط به تجزیه‌ی اشیاء خارجی XML دستکاری‌شده در XMPCore را برطرف می‌کند که می‌تواند منجر به افشای اطلاعات شود (CVE-۲۰۱۶-۴۲۱۶). این حفره که توسط گروه آلیسون از شرکت MITRE کشف شده است در نسخه‌ی ۵.۱.۳ از این محصول برطرف شده است.

ماه گذشته شرکت ادوبی یک آسیب‌پذیری روز-صفرم را که به‌وسیله‌ی یک گروه تهدید مداوم و پیشرفته ‌( APT) به نام ScarCruft مورد بهره‌برداری قرار گرفته بود و بر اهداف سطح بالا متمرکز بود، وصله کرده است. این آسیب‌پذیری با شناسه CVE-۲۰۱۶-۴۱۷۱ در حملات هدفمند مورد استفاده قرار می‌گرفت و توسط کارشناسان به نام «عملیات سپیده‌دم » نامیده شده بود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.