giovedì 16 giugno 2016

Adobe risolve vulnerabilità critiche in Flash, DNG SDK e ColdFusion


Il secondo Martedì del mese è riservato al Patch Day e il rilascio di patch da parte di Microsoft e Adobe. Generalmente, l'ampiezza dei prodotti Microsoft indicano che almeno una di queste patch sarà vista come la più importante, ma questo mese gli esperti pongono una vulnerabilità in Adobe Flash player nella parte superiore delle priorità enterprise. Microsoft ha spinto fuori 16 aggiornamenti per affrontare 44 diverse vulnerabilità in alcuni sui prodotti, incluso il nuovo Windows 10, mentre Adobe ha rilasciato una patch per risolvere una zero-day che viene sfruttata in attacchi limitati e mirati.

Adobe ha detto che la CVE-2016-4171 esiste in versioni precedenti di Flash su piattaforme Windows, Macintosh, Linux e Chrome OS. Lo sfruttamento con successo dell'expoit potrebbe causare un crash e potenzialmente consentire a un utente malintenzionato di assumere il controllo del sistema interessato. Adobe ha detto che una patch per il bug, divulgato privatamente da Anton Ivanov, Senior Malware Analyst di Kaspersky Lab, sarà disponibile già da oggi. Inizialmente, Adobe si aspettava di aggiornare Flash come parte del suo patch in programma martedì, sottolinea Threat Post

Adobe ha pubblicato alcuni aggiornamenti per un certo numero di altre linee di prodotti, invece, tra cui Adobe DNG Software Development Kit, Adobe Brackets, Adobe Creative Cloud Desktop Application, e hotfixe per ColdFusion. La correzione della CVE-2016-4159, che non richiede un riavvio delle macchine, consiste in una vulnerabilità di convalida dell'input che potrebbe essere utilizzata in attacchi cross-site scripting (XSS). Adobe ha anche patchato una singola vulnerabilità nel suo DNG SDK. Il difetto di corruzione della memoria interessa la versione 1.4 e precedenti. 

Adobe Brackets, editor del codice open source della società, è stato anche patchato contro un paio di vulnerabilità che lo affliggono. L'aggiornamento riguarda le macchine Windows, Macintosh e Linux e una patch corregge un difetto JavaScript injection (CVE-2016-4164) che potrebbe essere abusato in un attacco cross-site scripting, e un difetto nel Brackets extension manager (CVE-2016-4165). Le versioni 1.6 e precedenti sono colpiti, e Adobe invita gli utenti ad aggiornare a 1.7. Adobe ha anche patchato due difetti nel Creative Cloud Desktop Application per macchine Windows. 

Creative Cloud include una suite di applicazioni Adobe come Photoshop, Illustrator, InDesign e Premiere Pro. Versioni 3.6.0.248 e precedenti sono interessati; L'aggiornamento ha patchato una vulnerabilità nel percorso di ricerca di directory utilizzato per trovare le risorse che potrebbero provocare l'esecuzione di codice (CVE-2016-4157), e ha risolto una vulnerabilità di Unquoted Service Path Enumeration in Creative Cloud Desktop Application (CVE-2016-4158). In sostanza, quest'ultima vulnerabilità è legata al percorso binario in servizi che sono non quotati e contengono spazi.


Nessun commento:

Posta un commento