آسیب‌پذیری‌های بحرانی در محصولات ادوبی

ادوبی برای رفع آسیب‌پذیری‌هایی در محصولات Bridege، Illustrator و Magento به‌روزرسانی منتشر کرده است.

آسیب‌پذیری‌های بحرانی در محصولات ادوبی

ادوبی برای رفع آسیب‌پذیری‌هایی در محصولات Bridege، Illustrator و Magento به‌روزرسانی منتشر کرده است. شدیدترین این آسیب‌پذیری‌ها می‌تواند به اجرای کد از راه دور روی سیستم قربانی منجر شود.

 

به‌روزرسانی خارج از برنامه ادوبی که روز سه‌شنبه منتشر شد، آسیب‌پذیری‌هایی را رفع می‌کند که در مجموع به 35 CVE مربوط می‌شوند. از این تعداد، 25 CVE بحرانی هستند. اکثر این آسیب‌پذیری‌ها به Adobe Bridge (نسخه 10.0.1 و ماقبل روی ویندوز) مربوط می‌شوند که یک نرم‌افزار مدیریت دارایی‌های دیجیتال است.

طبق اطلاعیه ادوبی «این به‌روزرسانی چندین آسیب‌پذیری بحرانی و مهم را هدف قرار می‌دهد که می‌توانستند باعث اجرای کد دلخواه و نشت اطلاعات در قالب کاربر فعلی شوند».

آسیب‌پذیری‌های بحرانی عبارت اند از:

  • سرریز بافر مبتنی برپشته (CVE-2020-9555)
  • سرریز حافظه هیپ (heap) (CVE-2020-9562, CVE-2020-9563)
  • تخریب محتویات حافظه (CVE-2020-9568)
  • استفاده پس از آزادسازی (CVE-2020-9566, CVE-2020-9567)
  • نوشتن خارج از محدوده (CVE-2020-9554, CVE-2020-9556, CVE-2020-9559, CVE-2020-9560, CVE-2020-9561, CVE-2020-9564, CVE-2020-9565, CVE-2020-9569)

همه این آسیب‌پذیری‌ها در صورتی که توسط مهاجم راه دور مورد سوءاستفاده قرار گیرند، می‌توانند منجر به اجرای کد دلخواه شوند. داستین چایلدز، از اعضای تیم Zero Day Initiative شرکت ترند میکرو می‌گوید: «چند CVE با درجه‌بندی بحرانی هدف این به‌روزرسانی‌ها هستند. این آسیب‌پذیری‌ها در صورتی که کاربر فایلی با طراحی خاص را باز کند، می‌توانند به مهاجم راه دور اجازه دهند تا روی سیستم کد اجرا کند. از بین این‌ها، نوشتن خارج از محدوده و سرریز هیپ را باید بحرانی‌تر از بقیه در نظر گرفت. با این وجود، بهره‌برداری از همه این آسیب‌پذیری‌ها نیازمند تلاش بسیاری است، زیرا در حملات، راه سرراستی برای کنترل هیپ وجود ندارد».

ادوبی سه آسیب‌پذیری با درجه حساسیت «مهم» بر روی Bridge را نیز برطرف کرده است که می‌توانستند باعث نشت اطلاعات شوند (CVE-2020-9553, CVE-2020-9557, CVE-2020-9558). توصیه می‌شود کاربران، Bridge روی پلتفرم‌های ویندوز و macOS را به نسخه 10.0.4 به‌روز کنند.

سه آسیب‌پذیری بحرانی نیز در Illustrator 2020 24.1.2 برای پلتفرم ویندوز برطرف شده‌اند که از نوع تخریب حافظه بودند و می‌توانستند منجر به اجرای کد دلخواه شوند (CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573, CVE-2020-9574). این آسیب‌پذیری‌ها در نسخه 2020 24.1.2 برطرف شده‌اند.

ادوبی چند آسیب‌پذیری بحرانی را در Magento وصله کرده است که می‌توانستند باعث اجرای کد دلخواه یا نشت اطلاعات شوند. مهم‌ترین آن‌ها چند آسیب‌پذیری بحرانی تزریق دستور (CVE-2020-9576, CVE-2020-9578, CVE-2020-9582, CVE-2020-9583) و دو آسیب‌پذیری بحرانی از نوع دور زدن مکانیزم‌های امنیتی (CVE-2020-9579, CVE-2020-9580) هستند. به‌روزرسانی را طبق جدول زیر (برای همه پلتفرم‌ها) اعمال کنید.

محصول نسخه آسیب‌پذیر نسخه رفع اشکال شده
Magento Commerce 2.3.4 و ماقبل 2.3.4-p2
Magento Open Source 2.3.4 و ماقبل 2.3.4-p2
Magento Commerce 2.2.11 و ماقبل 2.3.5-p1
Magento Open Source 2.2.11 و ماقبل 2.3.5-p1
Magento Enterprise Edition 1.14.4.4 و ماقبل 1.14.4.5
Magento Community Edition 1.9.4.4 و ماقبل 1.9.4.5

قبلاً در ماه میلادی جاری، ادوبی وصله‌هایی را برای محصولات ColdFusion، After Effects و Digital Editions منتشر کرده بود. این وصله‌ها آسیب‌پذیری‌هایی را رفع می‌کردند که می‌توانستند منجر به نشت اطلاعات حساس، ارتقاء دسترسی و منع سرویس شوند.

منبع: Threatpost و Adobe

کلمات کلیدی