Пользователям Linux среди прочих призвали обновить Flash Player из-за уязвимостей

Adobe Systems

Хотя обновления Adobe Flash Player являются обычным делом для тех, кто использовал браузер в течение любого периода времени, последний бюллетень по безопасности Adobe рекомендует всем пользователям обновлять свое программное обеспечение из-за уязвимостей. Сюда входят те, кто работает под GNU / Linux, а также с Chrome OS, которая сама основана на Gentoo. Они также призывают тех, кто использует macOS на базе Unix, обновить Flash Player, что может быть результатом стандартной процедуры, хотя интересно отметить, какие уязвимости влекут за собой.

В последней версии программного обеспечения, 30.0.0.113, исправлены следующие критические уязвимости:

• CVE-2018-4945

• CVE-2018-5000

• CVE-2018-5001

• CVE-2018-5002

В то время как «4945» представляет собой недоразумение, допускающее выполнение произвольного кода, а «5002» имеет дело с переполнением буфера, «5000 и» 5001 гипотетически вызывают большее беспокойство, поскольку они позволяют раскрыть информацию. В частности, эксперты по безопасности Linux могут посчитать это особенно неприятным, поскольку конфиденциальность информации о пользователях, как правило, сильно подчеркивается теми, кто сосредоточен на этой области.

Эксплойты раскрытия информации включают проблему целочисленного переполнения и попытку чтения областей памяти, которые находятся за пределами границ. Оба этих эксплойта были отмечены только как важные, а не как критические в последнем бюллетене по безопасности от Adobe Systems, но они наверняка получат широкое освещение в сообществе GNU / Linux, если ничто иное.

Уязвимость «5002» - это одна из тех, которые больше всего беспокоят Adobe, поскольку она уже использовалась в некоторых ограниченных атаках, направленных на пользователей Windows. Эта уязвимость использует документ Office для загрузки удаленного файла в систему пользователя и использует платформу Adobe Flash.

Поскольку этот тип атаки, похоже, специфичен для платформы Windows, те, кто работает под управлением операционных систем на основе ядра Linux, могут посчитать другие уязвимости более серьезными. В настоящее время не было никаких новостей о том, что эксплойт влияет на альтернативы Office с открытым исходным кодом, и не было никаких сообщений о том, что эксплойт вызывает проблемы у тех, у кого установлен уровень приложения WINE для запуска программного обеспечения Windows в Linux. Однако все, что позволяет удаленному пользователю загрузить файл, вызывает беспокойство независимо от того, на какой платформе работает пользователь.