Компания Adobe выпустила комплект патчей для трех продуктов. Внеочередной набор обновлений устраняет более 80 уязвимостей в приложениях Acrobat и Reader, компонентах CMS-системы Experience Manager и программе Download Manager для Windows. Более половины новых багов имеют критический уровень опасности.

Какие баги закрыты в Adobe Acrobat и Reader

Наибольшее количество уязвимостей закрыто в редакторах PDF-документов Adobe Acrobat / Reader — они получили 68 патчей, 45 из которых исправляют критические недостатки. Шесть уязвимостей связаны с возможностью записи за границами буфера, 26 вызваны ошибкой использования освобожденной памяти. В перечне также указаны такие категории, как состояние гонки, путаница типов данных, переполнение буфера, разыменование недоверенного указателя. Все эти баги могли привести к исполнению вредоносного кода в среде целевого продукта.

Чуть менее серьезные уязвимости связаны с возможностью чтения за пределами выделенной области памяти, межсайтовым скриптингом или неудачной реализацией механизма безопасности. Эксплуатация этих багов грозит раскрытием конфиденциальной информации.

Данных об использовании какой-либо уязвимости в реальных атаках у Adobe нет, однако ввиду популярности Acrobat/Reader у злоумышленников пользователям настоятельно рекомендуется установить обновление.

Уязвимости актуальны для Acrobat DC и Acrobat Reader DC, работающих под Windows и macOS. Обновление возможно в автоматическом режиме или по запросу пользователя через пункт меню Check for Updates приложения.

Насколько опасны уязвимости в Download Manager и Adobe Experience Manager

В программе Adobe Download Manager 2.0.0.363 для Windows разработчики исправили серьезный баг, связанный с некорректным назначением прав доступа к файлам. Согласно бюллетеню, уязвимость CVE-2019-8071 может привести к эскалации привилегий атакующего. Ошибку нашел и передал в Adobe ИБ-специалист Эран Шимони (Eran Shimony).

Множественные уязвимости закрыты в CMS-решении Adobe Experience Manager и платформе приложений Adobe Experience Manager Forms. Разработчики устранили возможности обхода аутентификации, межсайтового скриптинга, подделки межсайтовых запросов и другие проблемы. Большинство из них получили высокий или средний уровень угрозы, однако одна ошибка, зарегистрированная как CVE-2019-8088, имеет статус критической. Эта уязвимость относится к категории «внедрение команд»; ее эксплуатация позволяет выполнить вредоносный код в системе.

Недостатки обнаружены в версиях с 6.0 по 6.5 Experience Manager и с 6.3 по 6.5 Experience Manager Forms, однако вендор исправил лишь три последних релиза платформы, поскольку сборки 6.0, 6.1 и 6.2 уже сняты с поддержки.

Выпустив новые патчи вне привычного графика, Adobe обошла стороной Flash Player. Последние патчи для этого продукта вышли в сентябре 2019 года — они закрыли уязвимости CVE-2019-8069 и CVE-2019-8070, грозившие исполнением стороннего кода.

Категории: Главное, Кибероборона