Второй раз за девять дней компания Adobe закрыла критическую уязвимость в Flash Player, эксплуатируемую хакерами. Adobe также обновила Reader, закрыв 13 новых и несколько старых багов. Уязвимость повреждения памяти в Flash Player была оценена Adobe как "критическая". В сопутствующем информационном бюллетене компания сообщила, что данный баг может "потенциально позволить злоумышленнику установить контроль над системой". "Имеются сообщения, что данная уязвимость эксплуатируется на практике в целевых атаках, осуществляемых через вредоносные веб-страницы", - также было указано в информационном бюллетене. Компания Adobe в последний раз выпускала критическое обновление - прозванное "экстренным"- 5 июня, когда она устранила критическую уязвимость, которую злоумышленники эксплуатировали для кражи входных данных Gmail. Это происходило посредством сообщений, которые обманным способом пытались заставить пользователей ввести их логины и пароли в фейковом экране входа в систему. Google, которая предоставляет Flash Player совместно с Chrome, также обновила свой браузер во вторник, чтобы включить только что обновленную версию Flash. Adobe патчит Flash Player уже четвертый раз за последние два месяца, и уже 6 раз в этом году. Хотя большинство уязвимостей Flash также могут быть эксплуатированы при помощи специально разработанных PDF документов - Adobe Reader работает с "authplay.dll", специализированной версией Flash - Adobe сообщила, что новейший Flash баг не влияет на Reader. Наряду с обновлением безопасности Flash, Adobe также устранила 13 новых уязвимостей в Reader. Новейшая версия, Reader X, получила, по меньшей мере, 17 патчей. Все, кроме 2 из 13 уязвимостей, были оценены Adobe как "критические". Adobe, как и Apple, не ранжирует уязвимости по многобальной системе. Вместо этого она использует фразу "может привести к удаленному выполнению кода", чтобы отметить, что хакеры могут взломать систему и внедрить вредоносную программу в компьютер, используя баг. Тринадцать новых багов включают уязвимости повреждения памяти, переполнения буфера/кучи, cross-document scripting уязвимость, DLL load hijacking уязвимость и один баг с простым названием "обход безопасности". Последней является уязвимость, характерная лишь для Reader X, которая при определенных обстоятельствах позволяет злоумышленнику заставить браузерный плагин Reader загрузить файл не в PDF формате, сообщила Adobe, отвечая на уточняющие вопросы. Компания Adobe также применила, по меньшей мере, четыре патча для уязвимостей в Reader X, которые она отказалась устранять в трех выпущенных ранее экстренных обновлениях с марта месяца . Согласно компании Adobe, ни одна из уязвимостей Reader, закрытых во вторник, не была эксплуатирована на практике. В это же время, когда она выпустила обновления безопасности для Flash Player и Reader, Adobe также пропатчила 24 уязвимости в Shockwave Player, две в LifeCycle Data Services и Blaze DS – потоковом сервисе и сервисе принудительной доставки данных, соответственно – и две уязвимости в ColdFusion. 16.06.2011 http://www.xakep.ru/post/55963/default.asp