Η Adobe μόλις κυκλοφόρησε τις μηνιαίες της ενημερώσεις που επιδιορθώνουν διάφορες ευπάθειες στα προϊόντα της στο πλαίσιο του Patch Tuesday. Οι περισσότερες ευπάθειες υπάρχουν στα προϊόντα Acrobat Writer και Reader της εταιρείας.
Φυσικά οι ενημερώσεις αφορούν όλα τα προϊόντα Adobe, (όπως την γνωστή εφαρμογή Flash Player) και οι ευπάθειες που επιδιορθώνουν θα μπορούσαν να επιτρέψουν την εκτέλεση αυθαίρετου κώδικα.
Σε γενικές γραμμές, η εταιρία έχει διορθώσει 87 ευπάθειες σε όλα της τα προγράμματα Acrobat Flash Player και Adobe Media Encoder και ανακοίνωσε ότι δεν γνωρίζει ποιες από τις ευπάθειες εκμεταλλεύονται αυτή τη στιγμή.
“Η Adobe κυκλοφόρησε ενημερώσεις ασφαλείας για τα Adobe Acrobat Writer και Reader για Windows και MacOS. Αυτές οι ενημερώσεις απευθύνονται σε κρίσιμες και σημαντικές αδυναμίες των εφαρμογών. Η επιτυχής εκμετάλλευσή τους θα μπορούσε να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα στο πλαίσιο του τρέχοντος χρήστη. “
Η πλειοψηφία των ευπαθειών (84 επιδιορθώθηκαν συνολικά) αφορούν την εφαρμογή στα Adobe Acrobat την εφαρμογή της Adobe που επιτρέπει στους χρήστες να δημιουργούν και να διαχειρίζονται αρχεία PDF. Επιδιορθώθηκαν 36 σημαντικές αδυναμίες αποκάλυψης πληροφοριών και 48 αδικαιολόγητες ευπάθειες που επέτρεπαν αυθαίρετη εκτέλεση κώδικα.
Αυτά τα σφάλματα συμπεριλαμβάνουν:
έξι out-of-bounds write flaws (CVE-2019-7829, CVE-2019-7825, CVE-2019-7822, CVE-2019-7818, CVE-2019-7804, CVE-2019-7800),
ένα type confusion glitch (CVE-2019-7820),
δύο heap overflow flaws (CVE-2019-7828, CVE-2019-7827),
ένα buffer error bug (CVE-2019-7824)
ένα διπλό free vulnerability (CVE-2019-7784)
και ένα security bypass (CVE-2019-7779).
Ακολουθούν οι εκδόσεις του Acrobat Writer και Reader. Σε περίπτωση που χρησιμοποιείτε κάποιο από τα παρακάτω προϊόντα ενημερώστε άμεσα.
Ο Adobe Flash Player εν τω μεταξύ, έχει ένα κρίσιμο use-after-free vulnerability, που θα μπορούσε να επιτρέψει την αυθαίρετη εκτέλεση κώδικα “στο πλαίσιο του τρέχοντος χρήστη” στα συστήματα που επηρεάζονται. Το ελάττωμα αναφέρθηκε ανώνυμα μέσω της Πρωτοβουλίας Zero Day της Trend Micro.
Το σφάλμα CVE-2019-7837 υπάρχει στο Adobe Flash Player για Desktop Runtime, Google Chrome, Microsoft Edge και Internet Explorer 11 (έκδοση 32.0.0.171 και νωρίτερα). Όσοι χρησιμοποιείτε αυτές τις εφαρμογές θα πρέπει να ενημερώσετε άμεσα στην έκδοση 32.0.0.192.
Τέλος, υπάρχουν δύο ελαττώματα στον Adobe Media Encoder της έκδοσης 13.0.2, ένα προϊόν που επιτρέπει στους χρήστες να κωδικοποιούν εύκολα τον ήχο και το βίντεο σε διάφορες μορφές.
Το προϊόν έχει ένα κρίσιμο use-after-free glitch (CVE-2019-7842) που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα, καθώς και ένα σημαντικό κενό αποκάλυψης πληροφοριών (CVE-2019-7844).
Αν χρησιμοποιείτε την εφαρμογή καλό θα ήταν να ενημερώσετε τον Media Encoder στην έκδοση 13.1. Την ευπάθεια αποκάλυψε η Trend Micro.
____________________
