A Adobe publicou dois boletins de segurança sobre um total de 17 vulnerabilidades 0-day que estavam sendo exploradas. A primeira delas, identificada como CVE-2015-0313, foi descoberta por pesquisadores da Microsoft e Trend Micro, sendo detalhada através de relatório divulgado pela última. As demais foram descobertas através de diversas iniciativas, a citar HP Zero Day, Chromium Vulnerability Rewards Program e Google Project Zero.
As vulnerabilidades, consideradas críticas, podem permitir a um atacante a obtenção do controle do sistema alvo. A nova versão do Adobe Flash Player, 16.0.0.305, corrige as falhas e pode ser baixada através da central de downloads da Adobe. Maiores informações sobre as vulnerabilidades e o pacote de atualização podem ser encontradas através dos boletins de segurança da Adobe. Veja:
- Boletim de segurança (APSA15-02) sobre vulnerabilidade CVE-2015-0313
- Boletim de segurança (APSA15-04) sobre atualizações de segurança do Adobe Flash Player
Segundo relatório divulgado pela Trustwave, a CVE-2015-0313 se assemelha com a vulnerabilidade CVE-2013-0311, corrigida na versão anterior do Flash e que estava sendo servida através do Angler Exploit Kit, uma vez que utilizam a mesma técnica de heap spray para obtenção de acesso à memória. Dessa forma, a empresa acredita que o mesmo grupo criminoso pode estar por trás da descoberta inicial e exploração dessas vulnerabilidades.
Confira maiores informações neste link.