کمیته رکن چهارم – بهروزرسانیهای امنیتی که شرکت ادوبی روز سهشنبه وصله کرد، در حالت کلی ۲۰ آسیبپذیری را در فلشپلیر و دیگر محصولات این شرکت وصله کرده است. بهرهبرداری از این آسیبپذیریها میتواند منجر به اجرای کد از راه دور بر روی ماشینهای آسیبپذیر شود.
به گزارش کمیته رکن چهارم،۹ آسیبپذیری در برنامهی فلشپلیر با انتشار نسخهی ۲۶.۰.۰.۱۲۶ از این برنامه برطرف شده است. در بهروزرسانیهای امنیتی این شرکت، این آسیبپذیریها تحت عنوان اشکالات استفاده پس از آزادسازی و خرابی حافظه تعریف شدهاند که بهرهبرداری از آنها منجر به اجرای کد از راه دور میشود.
شناسهی آسیبپذیریها در فلشپلیر به شرح زیر است:
CVE-۲۰۱۷-۳۰۷۵
CVE-۲۰۱۷-۳۰۸۱
CVE-۲۰۱۷-۳۰۸۳
CVE-۲۰۱۷-۳۰۸۴
CVE-۲۰۱۷-۳۰۷۶
CVE-۲۰۱۷-۳۰۷۷
CVE-۲۰۱۷-۳۰۷۸
CVE-۲۰۱۷-۳۰۷۹
CVE-۲۰۱۷-۳۰۸۲
۹ آسیبپذیری دیگر نیز توسط شرکت ادوبی در محصول Digital Editions که برای مطالعهی کتابهای الکترونیکی مورد استفاده قرار میگیرد، برطرف شده است. با این حال درجهی اهمیت اکثر این آسیبپذیریها پایین بوده و تنها ۴ آسیبپذیری خرابیِ حافظه وجود داشت که امکان بهرهبرداری از آنها برای اجرای کد از راه دور وجود دارد.
سایر آسیبپذیریها که مهم در نظر گرفته شدند، میتوانند منجر به ارتقاء امتیاز و افشای آدرسهای حافظه بشوند. این آسیبپذیریها توسط محققان امنیتی مستقل از شرکتهای مختلف به ادوبی گزارش شده است. کارکنان شرکت Fortinet همچنین از وجود یک آسیبپذیری اجرای کد از راه دور در محصول Shockwave Player در نسخهی ویندوز به ادوبی اطلاع دادند. این آسیبپذیری در ردهی اشکالات جدی طبقهبندی شده ولی احتمال بهرهبرداری از آن بسیار کم است.
یک آسیبپذیری افشای اطلاعات نیز در نسخههای ویندوز و مکینتاش Captivate نیز در بهروزرسانیهای اخیر وصله شده است. این محصول یک ابزار نگارشی است که برای ایجاد محتوای یادگیری الکترونیکی مورد استفاده قرار میگیرد.
منبع:security week
