Mais uma vez o Flash na boca do mundo. O Adobe April Security Bulletin remendou um total de 19 vulnerabilidades nos seus produtos, incluindo o Flash Player,, Experience Manager, InDesign CC, Digital Editions, ColdFusion e o PhoneGap Push plugin.
A Adobe lançou a versão 29.0.0.140 do Flash Player que corrige quatro vulnerabilidades críticas e duas falhas classificadas como “important”.
As falhas endereçadas no patch incluem:
e que podem ser exploradas remotamente pelos atacantes de forma a executarem código arbitrário no sistema alvo, e com isso roubarem e danificarem informação sensível supostamente não acessível.
“Adobe has released security updates for Adobe Flash Player for Windows, Macintosh, Linux and Chrome OS. These updates address critical vulnerabilities in Adobe Flash Player 29.0.0.113 and earlier versions. Successful exploitation could lead to arbitrary code execution in the context of the current user.” reads the security advisory published by Adobe.
Abaixo alguns detalhes sobre as vulnerabilidades:
| Vulnerability Category | Vulnerability Impact | Severity | CVE Number |
| Use-After-Free | Remote Code Execution | Critical | CVE-2018-4932 |
| Out-of-bounds read | Information Disclosure | Important | CVE-2018-4933 |
| Out-of-bounds read | Information Disclosure | Important | CVE-2018-4934 |
| Out-of-bounds write | Remote Code Execution | Critical | CVE-2018-4935 |
| Heap Overflow | Information Disclosure | Important | CVE-2018-4936 |
| Out-of-bounds write | Remote Code Execution | Critical | CVE-2018-4937 |
A Adobe fez também questão de reconhecer o trabalhos dos white-hackers da Google, Mateusz Jurczyk e Natalie Silvanovich, do Google Project Zero, por detetarem as falhas CVE-2018-4936, CVE-2018-4935, CVE-2018-4934, CVE-2018-4937.
Uma boa notícia sobre este patch, é que não existem evidências de que as falhas tenham sido exploradas pelos hackers.
A Adobe também endereçou três falhas moderadas e importantes de cross-site scripting (XSS) no software Experience Manager.
A Adobe também corrigiu uma falha crítica de corrupção de memória (CVE-2018-4928) no Adobe InDesign CC que foi identificada por Honggang Ren, do FortiGuard Labs da Fortinet e que poderia ser explorada para execução de código arbitrário.
A Adobe também corrigiu uma vulnerabilidade de leitura out-of-bounds e um problema de stack overflow no Adobe Digital Editions e cinco falhas no ColdFusion.
A última vulnerabilidade diz respeito a um erro de execução do método same-origin no plug-in do Adobe PhoneGap Push.