Компания Adobe выпустила мартовский набор обновлений, устраняющий две критические уязвимости. Одна содержится в графическом редакторе Photoshop CC, другая — в программе для чтения цифровых изданий Adobe Digital Editions.

По словам разработчика, обе уязвимости позволяют выполнить произвольный код в контексте текущего пользователя. Данных об использовании новых брешей в атаках на настоящий момент нет.

Уязвимость CVE-2019-7094 в Photoshop CC представляет собой баг нарушения целостности данных в динамической области памяти. Ее обнаружил участник проекта Zero Day Initiative Франсис Прованше (Francis Provencher). «Повреждение динамической памяти происходит в Photoshop при чтении за границами выделенного буфера, — пояснил представитель ZDI журналистам Threatpost. — В результате автор атаки сможет выполнить код, если ему удастся убедить пользователя открыть специально созданный файл».

Уязвимости подвержены Photoshop CC 19.1.7 и более ранние сборки этой ветки, а также Photoshop CC 20.0.2 и ниже. Пользователям рекомендуется установить обновление 19.1.8 или 20.0.4 на платформах Windows и macOS.

Критическая брешь в Digital Editions связана с переполнением буфера в куче. Она актуальна для всех прежних выпусков программы для Windows. Патч включен в состав обновления 4.5.10.186048.

Обеим заплаткам присвоен приоритет 3, так как они закрывают уязвимости в продуктах, которые редко подвергаются атакам. Сроки установки таких патчей Adobe обычно оставляет на усмотрение системных администраторов.

По объему мартовский набор обновлений для продуктов компании не идет ни в какое сравнение с предыдущим: в феврале Adobe в плановом порядке закрыла 75 уязвимостей, тогда как сейчас — только две.

Категории: Уязвимости