转载

Flash Player、Reader和Acrobat发布大量安全更新

Adobe公司近日发布了一次重大更新，修复了Windows、Mac OS X和Linux平台上的Flash Player、Reader和Acrobat产品中的共52个漏洞，包括堆溢出漏洞、整数溢出漏洞、类型混淆漏洞、内存泄漏漏洞和use-after-free漏洞等，幸运的是这些漏洞之前并没有被公开利用。

Adobe安全公告称，针对Windows、Mac OS X和Linux平台上的 Flash更新修复了一些重大漏洞，攻击者利用这些漏洞可远程控制受害者的电脑。Adobe公司建议用户尽快将使用到的这些产品更新到最新版本。

受影响版本及漏洞信息

受这些漏洞影响的Adobe产品版本包括以下几种：

Adobe Flash Player 17.0.0.169 及更早版本 Adobe Flash Player 13.0.0.281及比13.x更早版本 Adobe Flash Player 11.2.202.457及比11.x更早版本 AIR桌面运行时17.0.0.144及更早版本 AIR SDK和SDK&编译器17.0.0.144及更早版本

此次更新修复了一个堆溢出漏洞、一个整数溢出漏洞、3个类型混淆漏洞、4个内存泄漏漏洞和1个use-after-free漏洞，该漏洞允许攻击者远程运行代码及控制目标机器。此外，其他漏洞包括两个内存泄漏问题，这将导致绕过ASLR（地址空间布局随机化），以及一个安全绕过漏洞，这将可能导致数据泄漏和三个其他漏洞，这些漏洞将允许攻击者以与用户相同的权限将数据写入文件系统。

Flash Player、Reader和Acrobat发布大量安全更新

通过查看这次解决的Adobe Flash产品漏洞列表，可以看到有可能会产生一种TOCTOU（Time-of-Check Time-of-Use）竞争条件，这使得攻击者能够绕过IE浏览器的保护模式。

更新内容

在对 Reader和Acrobat更新的安全公告中，Adobe列举了受这些漏洞影响的产品版本：

Adobe Reader XI (11.0.10) 及比11.x更早的版本 Adobe Reader X (10.1.13) 及比10.x更早的版本 Adobe Acrobat XI (11.0.10) 及比11.x 更早的版本 Adobe Acrobat X (10.1.13) 及比10.x 更早的版本

Adobe安全公告中解释道，其中的一些漏洞可以被用来在受影响的机器上执行任意代码，甚至可以控制这些电脑。同样地，针对Adobe Reader和Acrobat产品，公司确认存在内存泄漏漏洞、use-after-free漏洞、缓冲区溢出和基于堆的缓冲区溢出漏洞。