Firma Adobe udostępniła aktualizacje zabezpieczeń, które dotyczą dwóch luk (CVE-2015-6680, CVE-2015-6681) w oprogramowaniu Adobe Shockwave Player. Ich eksploatacja mogła pozwolić osobie atakującej zdalnie przejąć kontrolę nad atakowanym systemem. Na szczęście Adobe już załatało swój produkt udostępniając jego nową wersję 12.2.0.162.

Osobą, która zgłosiła podatności był Tongbo Luo pracujący dla Palo Alto Networks.

Z kolei firma Microsoft udostępniła 12 aktualizacji dotyczących luk w systemie Microsoft Windows. Wykorzystywanie niektórych z nich może pozwolić atakującemu na przejęcie kontroli nad atakowanym systemem.

Pięć aktualizacji otrzymało status krytycznych, siedem jako ważnych. Niektóre z nich dotyczą przeglądarki Internet Explorer oraz EDGE. Najpoważniejsze z nich mogą pozwolić na zdalne wykonanie kodu, jeśli użytkownik wyświetli specjalnie spreparowaną stronę sieci Web. Osoba atakująca, której uda się wykorzystać te luki, może uzyskać takie same uprawnienia, jak bieżący użytkownik.

Aktualizacje naprawiają także lukę w zabezpieczeniach AD, która umożliwiała wykonanie ataku DoS, jeżeli atakujący spróbuje stworzyć wiele kont AD na raz. Aby atak został przeprowadzony skutecznie, atakujący musiałby posiadać uprawnienia przyłączenia się do domeny.

Błędy w oprogramowaniu znaleziono także w Microsoft Office. Najpoważniejsza z luk może pozwolić na zdalne wykonanie kodu, jeśli użytkownik otworzy specjalnie spreparowany plik programu Microsoft Office. Osoba atakująca, której uda się wykorzystać luki może uruchomić dowolny kod w kontekście bieżącego użytkownika. 

AUTOR:

Adrian Ścibor

Podziel się