Adobe April Bulletin Tuesday foi libertado esta terça-feira — a empresa remenda quatro vulnerabilidades críticas no Flash Player.

Mais uma vez o Flash na boca do mundo. O Adobe April Security Bulletin remendou um total de 19 vulnerabilidades nos seus produtos, incluindo o Flash Player,, Experience Manager, InDesign CC, Digital Editions, ColdFusion e o PhoneGap Push plugin.

A Adobe lançou a versão 29.0.0.140 do Flash Player que corrige quatro vulnerabilidades críticas e duas falhas classificadas como “important”.

As falhas endereçadas no patch incluem:

use-after-free, out-of-bounds read, out-of-bounds write and heap overflow bugs

e que podem ser exploradas remotamente pelos atacantes de forma a executarem código arbitrário no sistema alvo, e com isso roubarem e danificarem informação sensível supostamente não acessível.

“Adobe has released security updates for Adobe Flash Player for Windows, Macintosh, Linux and Chrome OS. These updates address critical vulnerabilities in Adobe Flash Player 29.0.0.113 and earlier versions. Successful exploitation could lead to arbitrary code execution in the context of the current user.” reads the security advisory published by Adobe.

 

Abaixo alguns detalhes sobre as vulnerabilidades:

Vulnerability CategoryVulnerability ImpactSeverityCVE Number
Use-After-FreeRemote Code ExecutionCriticalCVE-2018-4932
Out-of-bounds readInformation DisclosureImportantCVE-2018-4933
Out-of-bounds readInformation DisclosureImportantCVE-2018-4934
Out-of-bounds writeRemote Code ExecutionCriticalCVE-2018-4935
Heap OverflowInformation DisclosureImportantCVE-2018-4936
Out-of-bounds writeRemote Code ExecutionCriticalCVE-2018-4937

 

A Adobe fez também questão de reconhecer o trabalhos dos white-hackers da Google, Mateusz Jurczyk e Natalie Silvanovich, do Google Project Zero, por detetarem as falhas CVE-2018-4936, CVE-2018-4935, CVE-2018-4934, CVE-2018-4937.

adobe-patch

 

Uma boa notícia sobre este patch, é que não existem evidências de que as falhas tenham sido exploradas pelos hackers.

A Adobe também endereçou três falhas moderadas e importantes de cross-site scripting (XSS) no  software Experience Manager.

A Adobe também corrigiu uma falha crítica de corrupção de memória (CVE-2018-4928) no Adobe InDesign CC que foi identificada por Honggang Ren, do FortiGuard Labs da Fortinet e que poderia ser explorada para execução de código arbitrário.

A Adobe também corrigiu uma vulnerabilidade de leitura out-of-bounds e um problema de stack overflow no Adobe Digital Editions e cinco falhas no ColdFusion.

A última vulnerabilidade diz respeito a um erro de execução do método same-origin no plug-in do Adobe PhoneGap Push.