Плановые патчи получили также Experience Manager, Technical Communication Suite и Framemaker для Windows.
Компания Adobe выпустила новый набор патчей, совокупно устранив 16 уязвимостей. Наиболее серьезные из них — четыре бреши в Digital Editions — открывают возможность для выполнения произвольного кода.
Программа Adobe Digital Editions предназначена для чтения электронных книг, газет и других цифровых изданий. Три обнаруженные в ней критические уязвимости относятся к типу «переполнение буфера в куче» (CVE-2018-12813, CVE-2018-12814 и CVE-2018-12823), одна представляет собой баг use-after-free (использование освобожденной памяти, CVE-2018-12822).
«Успешный эксплойт может привести к исполнению произвольного кода в контексте текущего пользователя», — сказано в бюллетене компании.
В продукте также исправлено пять ошибок чтения за границами буфера, оцененных как существенные: CVE-2018-12816, CVE-2018-12818, CVE-2018-12819, CVE-2018-12820 и CVE-2018-12821. Их использование грозит раскрытием информации.
Перечисленные уязвимости присутствуют в Digital Editions версий 4.5.8 и ниже, работающих на платформах Windows, Mac и iOS. Пользователям рекомендуется произвести обновление до версии 4.5.9. Патчам присвоен приоритет 3; согласно классификации Adobe, это означает, что продукт не пользуется популярностью у злоумышленников и с установкой патчей можно повременить.
Пропатчена также система управления контентом Experience Manager; в ней закрыто пять уязвимостей, которым подвержены версии с 6.0 по 6.4. «Обновление устраняет две умеренно опасные уязвимости «отраженная XSS» и три хранимых XSS, оцененных как существенные; все они грозят раскрытием конфиденциальной информации», — сказано в бюллетене. Заплаткам присвоен приоритет 2.
В наборе приложений Technical Communication Suite закрыта единственная брешь — возможность повышения привилегий (CVE-2018-15976), свойственная выпускам 1.0.5.1 и ниже на Windows. Эта существенная уязвимость крылась в инсталляторе и возникла из-за небезопасного способа загрузки библиотек, что могло повлечь угон DLL.
Adobe залатала также издательскую систему Framemaker. В ней устранен баг повышения привилегий (CVE-2018-15974), оцененный как существенный. Причиной появления уязвимости тоже является небезопасная загрузка DLL, грозящая угоном. Пользователям Framemaker 1.0.5.1 и ниже в версии для Windows рекомендуется установить релиз 2019.
Примечательно, что на сей раз «вторник патчей» обошелся без Flash Player — согласно бюллетеню, в нем исправлены только ошибки, связанные с функциональностью и производительностью. В прошлом месяце Flash получил один плановый патч.
Октябрьские заплатки для Adobe Acrobat и Reader вышли досрочно. Это был солидный набор, закрывший 86 уязвимостей; больше половины из них получили оценку «критическая».