Adobe發(fā)布59個漏洞補丁 涉及Acrobat、Photoshop等15種產(chǎn)品

Adobe正在敦促其大批Acrobat Reader用戶更新他們的軟件，以修復可能允許攻擊者在未打補丁的版本上執(zhí)行任意代碼的關(guān)鍵漏洞。

Adobe針對影響其核心產(chǎn)品的59個漏洞發(fā)布了安全更新，包括Adobe Acrobat Reader、XMP Toolkit SDK和Photoshop。這次更新解決了其在15種產(chǎn)品中發(fā)現(xiàn)的59個錯誤，包括Photoshop、Premiere Elements、ColdFusion和InCopy。

其中共有36個漏洞被評為“嚴重”，這是Adobe特定的標簽，表明這些漏洞如果被利用，“將允許惡意本機代碼執(zhí)行，而用戶可能不知道”。

至于Adobe Acrobat系列軟件，修補了26個漏洞，其中13個是嚴重漏洞，Adobe給予“2”優(yōu)先級評級，這意味著受影響的產(chǎn)品處于易受到“較高風險”的攻擊。

其他級別較高的錯誤包括由類型混淆、基于堆的緩沖區(qū)溢出或自由使用的攻擊方式觸發(fā)的一組代碼執(zhí)行漏洞。

Zero-Day Initiative在周二的一篇帖子中評論道:“Photoshop補丁修復的一個bug可能導致在打開一個特制文件時執(zhí)行代碼?！?/p>

ZDI提醒，如果仍在使用ColdFusion，請及時打好補丁。

在嚴重性評級最高的Adobe錯誤中錯誤 (CVE-2021-39830) 評級為 8.8(CVSS)。另一個8.8高嚴重性錯誤 (CVE-2021-39820) 與前者一樣，允許威脅行為者在Adobe InDesign 版本中任意執(zhí)行代碼。

其次，CVSS 分數(shù)相對較高的是 Adobe Digital Editions 中的一個缺陷，評級為8.6。該漏洞 ( CVE-2021-39826 ) 被描述為OS命令注入漏洞。

“該軟件使用來自上游組件的外部影響輸入構(gòu)建全部或部分操作系統(tǒng)命令，但它不會中和或錯誤地中和特殊元素，這些元素在發(fā)送到下游組件時可能會修改預期的操作系統(tǒng)命令，” MITRE解釋Digital Editions的缺陷時稱。

幸運的是，據(jù)Adobe稱，Adobe本月修復的所有漏洞均未公開或受到主動攻擊。

建議有使用Adobe以上軟件的人員及時打好補丁并實時關(guān)注軟件安全情況。

軟件漏洞為網(wǎng)絡攻擊提供了廣泛攻擊面，但這些漏洞在發(fā)布補丁后并不能被使用者及時更新，這將導致網(wǎng)絡中存在大量安全漏洞，嚴重威脅到企業(yè)及機構(gòu)的網(wǎng)絡安全。在軟件開發(fā)期間及時關(guān)注軟件安全問題，將會大大降低后續(xù)因安全漏洞帶來的影響。數(shù)據(jù)顯示，超6成安全漏洞與代碼有關(guān)，加強代碼安全建設提高代碼質(zhì)量，能有效為網(wǎng)絡安全防御筑牢根基。隨著惡意軟件逐漸可以輕易逃過查殺工具的檢測，提高軟件自身安全性已經(jīng)成為網(wǎng)絡安全防御的重要補充手段。

參讀鏈接：

https://threatpost.com/adobe-bugs-acrobat-experience-manager/169467/