Компания Adobe Systems в плановом порядке устранила 25 уязвимостей в Acrobat / Reader, Photoshop, текстовом редакторе Brackets и платформе ColdFusion. Семнадцать проблем безопасности грозят исполнением произвольного кода и признаны критическими. Данных об использовании какого-либо из новых багов в атаках пока нет.

В Adobe Acrobat и Reader для Windows и macOS закрыто 14 RCE-уязвимостей, связанных с критическими ошибками — такими как запись за границами буфера, использование освобожденной памяти, переполнение буфера, разыменование недоверенного указателя, обход защиты. Еще семь проблем в программах для работы с PDF-файлами разработчик оценил как существенные.

Пользователям Acrobat DC / Acrobat Reader DC Continuous рекомендуется обновить продукт до сборки 2019.021.20058, Acrobat / Acrobat Reader Classic 2017 — до 2017.011.30156, Acrobat / Acrobat Reader Classic 2015 — до 2015.006.30508. Несмотря на отсутствие данных о наличии рабочих эксплойтов, обновлениям присвоен приоритет 2, так как эти программы относятся к группе повышенного риска. Согласно рейтингу Adobe, приоритет 2 также означает, что патчи следует установить в течение месяца.

В Adobe Photoshop CC для Windows и macOS устранили два критических бага нарушения целостности памяти, которые при использовании могли привести к исполнению стороннего кода в контексте текущего пользователя. Обновлениям 20.0.8 и 21.0.2 назначен приоритет 3, то есть их можно устанавливать в сроки по своему усмотрению.

Критическая RCE-уязвимость также выявлена в ПО с открытым исходным кодом Brackets — редакторе для веб-разработчиков. Согласно бюллетеню Adobe, проблема вызвана возможностью внедрения команд и проявляется в продуктах ветки 1.14 на всех платформах (Windows, Linux и macOS). Патч включен в состав обновления 1.14.1, с установкой которого можно повременить.

Единственная заплатка для набора инструментов разработки ColdFusion закрывает возможность повышения привилегий, возникшую из-за небезопасных унаследованных разрешений для каталога установки, используемого по умолчанию. Уязвимости подвержены все выпуски ColdFusion 2018 до Update 6 включительно; избавиться от проблемы поможет установка пакета Update 7. Однако обновление ColdFusion, со слов Adobe, не способно полностью обезопасить сервер. С этой целью рекомендуется также предельно актуализировать среду исполнения Java-приложений — виртуальную машину, входящую в комплект разработчика JDK.

Декабрьский набор плановых патчей для продуктов Adobe оказался более объемным, чем предыдущий. В прошлом месяце разработчик устранил 11 уязвимостей, и лишь три из них получили оценку «критическая».

Категории: Главное, Уязвимости