Уязвимость CVE-2016-1019 активно эксплуатируется в атаках на Windows XP, Windows 7 и Windows 10.
В четверг, 7 апреля, компания Adobe выпустила обновленную версию Flash Player для Windows, Macintosh, Linux и ChromeOS. Обновление исправляет 24 уязвимости, в том числе критическую CVE-2016-1019, позволяющую вызвать отказ в обслуживании и получить контроль над целевой системой. По данным Adobe, ошибка активно эксплуатируется злоумышленниками в целевых атаках на системы Windows XP, Windows 7 и Windows 10 с установленной версией Flash Player 20.0.0.306.
Остальные уязвимости позволяют выполнить код и связаны с ошибкой использования после высвобождения, обработкой шрифтов, повреждением памяти и переполнением буфера. Эксплуатируя CVE-2016-1030, злоумышленник может обойти механизмы безопасности, а CVE-2016-1006 позволяет осуществить атаку JIT spray.
Список уязвимых версий Adobe Flash Player
| Product | Affected Versions | Platform |
|---|---|---|
| Adobe Flash Player Desktop Runtime | 21.0.0.197 and earlier | Windows and Macintosh |
| Adobe Flash Player Extended Support Release | 18.0.0.333 and earlier | Windows and Macintosh |
| Adobe Flash Player for Google Chrome | 21.0.0.197 and earlier | Windows, Macintosh, Linux and ChromeOS |
| Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 21.0.0.197 and earlier | Windows 10 |
| Adobe Flash Player for Internet Explorer 11 | 21.0.0.197 and earlier | Windows 8.1 |
| Adobe Flash Player for Linux | 11.2.202.577 and earlier | Linux |
Проверить установленную версию Flash Player можно на странице About Flash Player page. Также можно нажать правой кнопкой мыши на воспроизводимый проигрывателем контент и выбрать в меню опцию «About Flash Player». Тем, кто работает с несколькими браузерами, следует проверить версию проигрывателя для каждого из них.
Пользователи Flash Player 11.2.x и более ранних версий для Windows или Flash Player 11.3.x и более ранних версий для Mac, активировавшие опцию «Разрешить Adobe устанавливать обновления», получат патч автоматически. Остальные могут установить обновления вручную.
