Security Week 21: сотни уязвимостей Adobe Flash

Habrahabr
7 июня компания Adobe закрыла критическую уязвимость в Flash Player (новость, сообщение компании). Уязвимость CVE-2018-5002 обнаружена сразу несколькими исследовательскими командами из Китая — речь идет об удаленном выполнении произвольного кода в результате ошибки переполнения буфера. Это уязвимость нулевого дня: на момент обнаружения она уже использовалась в целевых атаках на Ближнем Востоке. Эта достаточно серьезная проблема воспринимается как рутинная новость просто из-за названия пострадавшего продукта: ну кого уже может удивить RCE во флеше?
Только в нынешнем году это уже вторая критическая уязвимость нулевого дня, первую срочно закрывали в феврале. Adobe Flash вообще стал образцовым примером небезопасного софта, он стабильно находится в топе самых часто атакуемых приложений, причем не покидает этот рейтинг годами. Он по-прежнему распространен у пользователей, несмотря на многолетние попытки заменить его объективно более эффективными технологиями. Независимо от отношения к технологии, Flash стал неотъемлемой частью истории Интернета. При помощи пары ссылок и одного графика попробуем посмотреть на Flash с точки зрения безопасности и не только. Читать дальше →