شرکت Adobe به تازگی مجموعه ای از به روزرسانی ها برای 6 محصول خود را منتشر کرده است که طبق آن ها مجموعا 41 آسیب پذیری وصله شده است. این محصولات عبارتند از :
- Adobe Genuine Integrity Service
- Adobe Acrobat and Reader
- Adobe Photoshop
- Adobe Experience Manager
- Adobe ColdFusion
- Adobe Bridge
بنا بر توصیه های امنیتی، تعداد 29 مورد از 41 آسیب پذیری وصله شده به عنوان آسیب پذیری بحرانی[1] و 11 مورد دیگر به عنوان آسیب پذیری مهم[2] گزارش شده اند. به غیر از نقص گزارش شده در ColdFusion (با شناسه CVE-2020-3761) که به مهاجمان امکان خواندن فایل های دلخواه از مسیر نصب برنامه را می دهد، همه ی نواقص بحرانی از نوع memory corruption می باشند که می تواند منجر به حملات اجرای کد دلخواه شوند.
وصله آسیب پذیری های نرم افزارهای Adobe Acrobat و Reader:
با توجه به بولتن خبری شرکت Adobe ، نرم افزارهای Adobe Acrobat و Reader در سیستم های Windows و MacOS حاوی 13 نقص می باشند، که از این میان 9 مورد مهم به شمار می روند. نسخه های تحت تاثیر این نواقص عباتند از :
Platform | Affected Versions | Track | Product |
Windows&macOS | 2020.006.20034 and earlier versions | Continuous | Acrobat DC |
Windows&macOS | 2020.006.20034 and earlier versions | Continuous | Acrobat Reader DC |
Windows&macOS | 2017.011.30158 and earlier versions | Classic 2017 | Acrobat 2017 |
Windows&macOS | 2017.011.30158 and earlier versions | Classic 2017 | Acrobat Reader 2017 |
Windows&macOS | 2015.006.30510 and earlier versions | Classic 2017 | Acrobat 2015 |
Windows&macOS | 2015.006.30510 and earlier versions | Classic 2017 | Acrobat Reader 2015 |
جدول زیر جزئیات آسیب پذیری های موجود در محصولات Adobe Acrobat و Reader را ارائه می دهد:
Vulnerability Category | Vulnerability Impact | Severity | CVE Number |
Out-of-bounds read | Information Disclosure | Important | CVE-2020-3804
CVE-2020-3806 |
Out-of-bounds write | Arbitrary Code Execution | Critical | CVE-2020-3795 |
Stack-based buffer overflow | Arbitrary Code Execution | Critical | CVE-2020-3799 |
Use-after-free | Arbitrary Code Execution | Critical | CVE-2020-3792
CVE-2020-3793 CVE-2020-3801 CVE-2020-3802 CVE-2020-3805 |
Memory address leak | Information Disclosure | Important | CVE-2020-3800 |
Buffer overflow | Arbitrary Code Execution | Critical | CVE-2020-3807 |
Memory corruption | Arbitrary Code Execution | Critical | CVE-2020-3797 |
Insecure library loading (DLL hijacking) | Privilege Escalation | Important | CVE-2020-3803 |
وصله آسیب پذیری های نرم افزار Photoshop:
همچنین پیرو این توصیه نامه امنیتی نرم افزار پرطرفدار Photoshop نیز در سیستم های Windows و MacOS حاوی 22 نقص می باشد، که از این میان 16 مورد مهم به شمار می روند. نسخه های تحت تاثیر این نواقص عباتند از :
Product | Affected version | Platform |
Photoshop CC 2019 | 20.0.8 and earlier | Windows and macOS |
Photoshop 2020 | 21.1 and earlier | Windows and macOS |
جدول زیر نیز جزئیات آسیب پذیری های موجود در نرم افزار پرطرفدار Photoshop را ارائه می دهد:
Vulnerability Category | Vulnerability Impact | Severity | CVE Number |
Heap corruption | Arbitrary Code Execution | Critical | CVE-2020-3783 |
Memory corruption | Arbitrary Code Execution | Critical | CVE-2020-3784
CVE-2020-3785 CVE-2020-3786 CVE-2020-3787 CVE-2020-3788 CVE-2020-3789 CVE-2020-3790 |
Out-of-bounds read | Information Disclosure | Important | CVE-2020-3771
CVE-2020-3777 CVE-2020-3778 CVE-2020-3781 CVE-2020-3782 CVE-2020-3791 |
Out-of-bounds write | Arbitrary Code Execution | Critical | CVE-2020-3773
CVE-2020-3779 |
Buffer errors | Arbitrary Code Execution | Critical | CVE-2020-3770
CVE-2020-3772 CVE-2020-3774 CVE-2020-3775 CVE-2020-3776 CVE-2020-3780 |
توصیه ها و راه حل:
توصیه می شود که کاربران برنامه های یاد شده، از آخرین نسخه های به روز شده استفاده کنند. بر این اساس آخرین نسخه ی برنامه ی Photoshop CC 2019 و Photoshop 2020 به ترتیب 20.0.9 و 21.1.1 اعلام شده است. همچنین جدول زیر نسخه های به روز شده ی برنامه های Adobe Acrobat و Reader را ارائه می دهد:
Product | Track | Updated Versions | Platform | Priority Rating | Availability |
Acrobat DC | Continuous | 2020.006.20042 | Windows and macOS | 2 | Windows |
Acrobat Reader DC | Continuous | 2020.006.20042 | Windows and macOS | 2 | Windows |
Acrobat 2017 | Classic 2017 | 2017.011.30166 | Windows and macOS | 2 | Windows |
Acrobat Reader 2017 | Classic 2017 | 2017.011.30166 | Windows and macOS | 2 | Windows |
Acrobat 2015 | Classic 2015 | 2015.006.30518 | Windows and macOS | 2 | Windows |
Acrobat Reader 2015 | Classic 2015 | 2015.006.30518 | Windows and macOS | 2 | Windows |
[1] critical
[2] important