Adobe исправит собственный 37-й и 38-й CVE в течение месяца июля, потому, что осадки длятся от нарушения Команды Взламывания.Adobe легко, может казаться, не приобретает отсрочки от на вид нескончаемого нападения уязвимостей нулевого дня, обнаруживаемых в его весьма порочившем Flash player. Adobe планирует исправить две новых уязвимости Flash нулевого дня на этой неделе, обе из которых были найдены в дампе данных от нарушения итальянской Команды Взламывания поставщика совокупностей обеспечения безопасности.
Взламывание нарушения Команды было раскрыто 5 июня, с 400 ГБ информации, публично выпущенной, включая данные о многократном применении нулевого дня.Два новых нулевых дня Flash применяют CVE 2015 5122, и CVE 2015 5123 присоединяются к применению CVE-2015-5119, которое было также найдено в нарушении Команды Взламывания.
Adobe исправил CVE-2015-5119 8 июля как часть обновления, которое обеспечило исправления для 36 недостатков в Flash player компании.Недостаток CVE-2015-5122 был сперва найден в документах Команды Взламывания компанией безопасности FireEye. «(Подтверждение концепции) CVE-2015-5122 PoC верно написано как прошлый PoC для CVE-2015-5119 тем же автором», записал Дхэнеш Кижаккинэн, научный сотрудник из FireEye, в сообщении в блоге. «Уязвимость инициирована, высвободив объект TextLine в valueOf функции пользовательского класса при установлении opaqueBackground TextLine».Открытие второго нового нулевого дня CVE 2015 5123 исправляемый Adobe кредитовано к компании безопасности Trend Micro. «Основанный на отечественном анализе, эта уязвимость имеет также неточность приема valueOf», записал Питер Пи, аналитик по угрозам Trend Micro, в сообщении в блоге. «Но если сравнивать с первыми двумя применением нулевого дня Flash, о котором информируют, это включает объект BitmapData а не TextLine и ByteArray».
То, что это по большей части свидетельствует, – то, что все три нулевых дня, отысканные в файлах Команды Хакера, были некоей формой неприятности повреждения памяти применения-после-свободного (UAF). С недостатком UAF атакующий в состоянии применять авторизованную память, которая была распределена для применения Flash для исполнения произвольного кода.
Недостатки UAF все более и более распространены через многократные классы Веб-программного обеспечения и регулярно обнаруживаются в Патче Микрософт, во вторник информирует для MSIE (IE).Тридцать восемь уязвимостей, фиксированных в единственном месяце, не являются добрым знаком для Flash Adobe. Через сеть эксперты по безопасности еще раз призывают, чтобы Flash был удален из пользовательских совокупностей для ограничения риска. без сомнений, будут кое-какие пользователи, которые практически постараются удалить Flash, не смотря на то, что я подозреваю, больше всего не будет.
Шар находится сейчас весьма в суде Adobe, и будет весьма интересно видеть, как Adobe – вместе с теми в сообществе исследователя в области безопасности – в состоянии предложить решение проблемы слабости UAF в Flash.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.