奥多比系统公司(Adobe Systems)周二发布了几款产品的关键安全更新,以修复漏洞,攻击者可以通过这些漏洞远程控制运行这些漏洞软件的系统。
收到安全补丁的产品包括Flash Player、用于构建富Internet应用程序的adobeair SDK(软件开发工具包)和编译器、adobereader、adobacrobat和adobillustrator for CS6 (creativesu6)。
虽然针对Flash Player、AIR、Reader和Acrobat的安全更新每月发布一次,但针对Illustrator的安全补丁,尤其是关键补丁,却很少,上一次是在两年前发布的。
在一个安全咨询Adobe说,新的Illustrator热修复程序解决了一个漏洞,该漏洞可能会被利用来在受影响的系统上远程执行代码,但没有具体说明如何实现。该公司建议Adobe Illustrator在Windows和Mac上的用户升级到最新发布的16.2.2或16.0.5版本,具体取决于他们是否订阅。
新的Flash Player版本于周二发布,Windows和Mac版本为13.0.0.214,Linux版本为11.2.202.359,修复了总共六个漏洞。其中一种被识别为CVE-2014-0510,可以导致任意代码执行,Keen团队和509团队的成员在3月份的Pwn2Own黑客大赛上演示了这一过程。
其他修补过的漏洞之一可能被用来绕过同源策略,这是一个重要的安全特性,可以防止从不同网站加载的内容相互影响,其余四个漏洞可以用来绕过程序中的不同安全保护。
与谷歌Chrome, Internet Explorer 10和Internet Explorer 11一起发行的Flash播放器版本将通过这些浏览器的更新机制自动更新。
同样的漏洞也在新发布的Adobe AIR 13.0.0.111 SDK和捆绑Flash Player的Adobe AIR 13.0.0.111 SDK和编译器中修复。
adobereader和Acrobat X和XI是否更新到11.0.07和10.1.10版本为了修复十个远程代码执行缺陷,一个沙箱绕过和一个信息泄露漏洞。在Pwn2Own竞赛中,来自法国漏洞研究公司Vupen的团队使用了远程代码执行漏洞CVE-2014-0511和沙箱绕过漏洞CVE-2014-0512。
Adobe Reader和Flash安全更新的优先级为1。Qualys首席技术官沃尔夫冈·坎德克(Wolfgang Kandek)在电子邮件中说,这表明该公司认为,一旦对补丁进行了逆向工程,它们就很容易被利用。请注意Adobe也不再为Windows XP提供补丁。”