آسیبپذیریهای بحرانی در محصولات ادوبی
ادوبی برای رفع آسیبپذیریهایی در محصولات Bridege، Illustrator و Magento بهروزرسانی منتشر کرده است.
آسیبپذیریهای بحرانی در محصولات ادوبیادوبی برای رفع آسیبپذیریهایی در محصولات Bridege، Illustrator و Magento بهروزرسانی منتشر کرده است. شدیدترین این آسیبپذیریها میتواند به اجرای کد از راه دور روی سیستم قربانی منجر شود. |
|||||||||||||||||||||
بهروزرسانی خارج از برنامه ادوبی که روز سهشنبه منتشر شد، آسیبپذیریهایی را رفع میکند که در مجموع به 35 CVE مربوط میشوند. از این تعداد، 25 CVE بحرانی هستند. اکثر این آسیبپذیریها به Adobe Bridge (نسخه 10.0.1 و ماقبل روی ویندوز) مربوط میشوند که یک نرمافزار مدیریت داراییهای دیجیتال است. طبق اطلاعیه ادوبی «این بهروزرسانی چندین آسیبپذیری بحرانی و مهم را هدف قرار میدهد که میتوانستند باعث اجرای کد دلخواه و نشت اطلاعات در قالب کاربر فعلی شوند». آسیبپذیریهای بحرانی عبارت اند از:
همه این آسیبپذیریها در صورتی که توسط مهاجم راه دور مورد سوءاستفاده قرار گیرند، میتوانند منجر به اجرای کد دلخواه شوند. داستین چایلدز، از اعضای تیم Zero Day Initiative شرکت ترند میکرو میگوید: «چند CVE با درجهبندی بحرانی هدف این بهروزرسانیها هستند. این آسیبپذیریها در صورتی که کاربر فایلی با طراحی خاص را باز کند، میتوانند به مهاجم راه دور اجازه دهند تا روی سیستم کد اجرا کند. از بین اینها، نوشتن خارج از محدوده و سرریز هیپ را باید بحرانیتر از بقیه در نظر گرفت. با این وجود، بهرهبرداری از همه این آسیبپذیریها نیازمند تلاش بسیاری است، زیرا در حملات، راه سرراستی برای کنترل هیپ وجود ندارد». ادوبی سه آسیبپذیری با درجه حساسیت «مهم» بر روی Bridge را نیز برطرف کرده است که میتوانستند باعث نشت اطلاعات شوند (CVE-2020-9553, CVE-2020-9557, CVE-2020-9558). توصیه میشود کاربران، Bridge روی پلتفرمهای ویندوز و macOS را به نسخه 10.0.4 بهروز کنند. سه آسیبپذیری بحرانی نیز در Illustrator 2020 24.1.2 برای پلتفرم ویندوز برطرف شدهاند که از نوع تخریب حافظه بودند و میتوانستند منجر به اجرای کد دلخواه شوند (CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573, CVE-2020-9574). این آسیبپذیریها در نسخه 2020 24.1.2 برطرف شدهاند. ادوبی چند آسیبپذیری بحرانی را در Magento وصله کرده است که میتوانستند باعث اجرای کد دلخواه یا نشت اطلاعات شوند. مهمترین آنها چند آسیبپذیری بحرانی تزریق دستور (CVE-2020-9576, CVE-2020-9578, CVE-2020-9582, CVE-2020-9583) و دو آسیبپذیری بحرانی از نوع دور زدن مکانیزمهای امنیتی (CVE-2020-9579, CVE-2020-9580) هستند. بهروزرسانی را طبق جدول زیر (برای همه پلتفرمها) اعمال کنید.
قبلاً در ماه میلادی جاری، ادوبی وصلههایی را برای محصولات ColdFusion، After Effects و Digital Editions منتشر کرده بود. این وصلهها آسیبپذیریهایی را رفع میکردند که میتوانستند منجر به نشت اطلاعات حساس، ارتقاء دسترسی و منع سرویس شوند. منبع: Threatpost و Adobe |