کمیته رکن چهارم – در مجموع ۶ آسیب پذیری حیاتی و مهم در ادوبی فلش پلیر با انتشار نسخه ی ۲۹٫۰٫۰٫۱۴۰ وصله شده است که از جملهی این آسیبپذیریها میتوان به اشکالات استفاده پس از آزادسازی، خواندن خارج از محدوده، نوشتن خارج از محدوده و سرریز بافر مبتنی بر هیپ اشاره کرد که بهرهبرداری از این آسیبپذیریها منجر به اجرای کد از راه دور و افشای اطلاعات میشود.
به گزارش کمیته رکن چهارم،در حالیکه برخی از این آسیبپذیری ها حیاتی گزارش شدهاند، ادوبی اعلام کرده که شواهدی مبنی بر بهرهبرداری از این آسیبپذیریها وجود نداشته و احتمال توسعهی بهرهبرداری توسط نفوذگران کم است. تعداد آسیبپذیریهایی که در ادوبی فلشپلیر وصله شده است بهطور چشمگیری کاهش یافته چرا که این شرکت اعلام کرده تا سال ۲۰۲۰ میلادی این نرمافزار را بهطور کامل کنار خواهد گذاشت.
هرچند با این وجود، نفوذگران از کشف آسیبپذیری و بهرهبرداری از آن در ادوبی فلشپلیر دست برنداشتهاند. در ماه فوریه شرکت ادوبی مجبور شد یک بهروزرسانی ضروری را منتشر کند. در این بهروزرسانی یک آسیبپذیری روز-صفرم وصله شده بود که توسط نفوذگران کرهی شمالی مورد بهرهبرداری قرار میگرفت.
در بهروزرسانی ماه آوریل شرکت ادوبی که روز سهشنبه منتشر شده، ۳ آسیبپذیری XSS نیز در محصول Experience Manager وصله شده است. در InDesign CC نیز چند آسیبپذیری وصله شده که از جمله به یک آسیبپذیری حیاتی خرابی حافظه میتوان اشاره کرد که بهرهبرداری از آن با استفاده از فایلهای جعلی .inx منجر به اجرای کدهای دلخواه توسط نفوذگران میشود. یکی دیگر از آسیبپذیریها نیز یک اشکال جستجوی مسیر غیرقابلاعتماد است که میتواند ارتقاء امیتازات مهاجم را به دنبال داشته باشد.
در آخرین نسخه از Adobe Digital Editions یک آسیبپذیری خواندن خارج از محدوده و سرریز بافر پشته وصله شده که بهرهبرداری از هر دوی این آسیبپذیریها میتواند باعث افشای اطلاعات شود. برای نسخهی ۱۱ از ColdFusion و انتشار مربوط به سال ۲۰۱۶ میلادی، بهروزرسانیهایی منتشر شده است. در این بخش ۵ آسیبپذیری وصله شده که عبارتند از: ارتقاء امتیاز محلی، اجرای کد از راه دور و اشکال افشای اطلاعات. درن نهایت در Adobe PhoneGap Push plugin نیز اشکال اجرای روش same-origin برطرف شده که برنامه را در معرض اجرای کد JavaScript قرار میداد.
منبع:uucert
