وصلهی آسیبپذیریهای بحرانی محصولات Adobe
Adobe بهروزرسانی امنیتی جدیدی را منتشر کرده که ۱۹ آسیبپذیری بحرانی در محصولاتش را برطرف میکند و به کاربران توصیه کرده که محصولات این نرمافزار را در اسرع وقت به آخرین نسخه بهروزرسانی کنند تا از سوءاستفادههای بالقوهی این اشکالات در امان بمانند.
موبنا – Adobe Flash که معمولاً شامل آسیبپذیریهای امنیتی این شرکت است، وصلههایی دریافت کرده است که آسیبپذیریهای بحرانی نسخهی ۲۹.۰.۰.۱۱۳ Adobe Flash Player و پیش از آن را در سیستمهای ویندوز، مکینتاش، لینوکس و سیستمعامل کروم برطرف میسازد.
در کل سه آسیبپذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-۲۰۱۸-۴۹۳۲) و دو خطای نوشتن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۵ و CVE-۲۰۱۸-۴۹۳۷). همهی این آسیبپذیریها درصورتیکه مورد سوءاستفاده قرار گیرند میتوانند منجر به اجرای از راهدور کد شوند. علاوهبر این، Adobe دو اشکال خواندن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۳ و CVE-۲۰۱۸-۴۹۳۴) و همچنین یک اشکال سرریز پشته (CVE-۲۰۱۸-۴۹۳۶) را نیز وصله کرده است. این آسیبپذیریها میتوانند منجر به افشای اطلاعات شوند.
سه آسیبپذیری در Adobe Experience Manager نیز حل شدهاند. این بهروزرسانی نسخههای ۶.۰ تا ۶.۳ را تحتتأثیر قرار میدهد و یک آسیبپذیری تزریق کد از طریق وبگاه ذخیرهشده (stored Cross-Site scripting) (CVE-۲۰۱۸-۴۹۲۹) و دو آسیبپذیری تزریق کد از طریق وبگاه (CVE-۲۰۱۸-۴۹۳۰, CVE-۲۰۱۸-۴۹۳۱) را برطرف میسازد. تمامی این آسیبپذیریهای میتوانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه بهروزرسانی دریافت کرده است. یک آسیبپذیری بحرانی خرابی حافظه (CVE-۲۰۱۸-۴۹۲۸) که درنتیجهی تجزیهی نامناسب یک فایل ساختگی خاص. inx ایجاد شده است و آسیبپذیری مسیر جستجوی نامعتبر (CVE-۲۰۱۸-۴۹۲۷) در نصب InDesign در این بهروزرسانی وصله شدهاند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد میتواند منجر به اجرای کد دلخواه و اگر آسیبپذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد و منجر به افزایش مجوزهای محلی شود.
همچنین در Adobe Digital Edition نیز دو آسیبپذیری CVE-۲۰۱۸-۴۹۲۵ و CVE-۲۰۱۸-۴۹۲۶ وصله شدهاند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخههای ۴.۵.۷ و پایینتر را تحتتأثیر قرار میدهند میتوانند منجر به افشای اطلاعات شوند.
Adobe یک کتابخانهی ناامن دارای آسیبپذیری (CVE-۲۰۱۸-۴۹۳۸)، آسیبپذیری اسکریپتنویسی از طریق وبگاه که میتواند منجر به تزریق کد شود (CVE-۲۰۱۸-۴۹۴۰) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-۲۰۱۸-۴۹۴۱) که میتواند منجر به نشت اطلاعات شود را نیز وصله کرده است. این بهروزرسانی امنیتی یک آسیبپذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است.
این وصله آسیبپذیری مهم Same- Origin Method Execution (SOME) که در نسخهی ۲.۱.۰ برنامههای PhoneGap پلاگین Push وجود دارد را حل میکند.
منبع: ایسنا
