Η Adobe κυκλοφόρησε ενημερώσεις ασφαλείας για τη διόρθωση ευπαθειών που βρέθηκαν στα Bridge, Illustrator και Magento.
Την Τρίτη, η εταιρεία κυκλοφόρησε τρία διαφορετικά security advisories, που διορθώνουν συνολικά 35 ευπάθειες, 25 εκ των οποίων χαρακτηρίζονται κρίσιμες. Εάν χρησιμοποιηθούν, μπορούν να οδηγήσουν στην εκτέλεση κώδικα και την αποκάλυψη πληροφοριών.
Το Adobe Bridge είχε τα 14 από τα 25 κρίσιμα σφάλματα. Πλέον έχουν διορθωθεί. Οι ενημερώσεις ασφαλείας απευθύνονται στην έκδοση 10.0.4 και τις μεταγενέστερες εκδόσεις σε Windows και MacOS μηχανήματα.
Οι κρίσιμες ευπάθειες που αντιμετωπίστηκαν στο Adobe Bridge, είναι η CVE-2020-9555 (ένα «stack-based buffer overflow» σφάλμα), οι CVE-2020-9562 και CVE-2020-9563 (δύο ευπάθειες τύπου «heap buffer overflow»), η CVE-2020 -9568 (ένα σφάλμα μνήμης), οι CVE-2020-9566 και CVE-2020-9567 (δύο use-after-free ευπάθειες) και οκτώ out-of-bounds write ευπάθειες (CVE-2020-9554, CVE-2020-9556, CVE-2020-9559, CVE-2020-9560, CVE-2020-9561, CVE-2020-9564, CVE-2020-9565, CVE-2020-9569).
Η εκμετάλλευση των παραπάνω ευπαθειών επιτρέπει την εκτέλεση κώδικα.
Η Adobe διόρθωσε, επίσης, τις ευπάθειες CVE-2020-9553, CVE-2020-9557 και CVE-2020-9558, που θα μπορούσαν να επιτρέψουν την αποκάλυψη πληροφοριών.
Όσον αφορά στο Adobe Illustrator 2020, η Adobe διορθώνει ευπάθειες που έχουν εντοπιστεί σε όλες τις εκδόσεις πριν την 24.0.2 (συμπεριλαμβανομένης αυτής) σε Windows υπολογιστές.
Οι ευπάθειες που διορθώθηκαν με τις νέες ενημερώσεις ασφαλείας είναι οι CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573 και CVE-2020-9574. Πρόκειται για «memory corruption» σφάλματα, που μπορούν να αξιοποιηθούν σε επιθέσεις εκτέλεσης κακόβουλου κώδικα.
Η Adobe κυκλοφόρησε, επίσης, ένα security advisory για την πλατφόρμα ηλεκτρονικού εμπορίου Magento.
Οι ευπάθειες επηρεάζουν το Magento Commerce και το Open Source (2.3.4 και παλαιότερες εκδόσεις), το Magento Enterprise Edition (1.14.4.4 και παλαιότερες εκδόσεις) και το Magento Community Edition (1.9.4.4 και παλαιότερα). Επιπλέον, επηρεάζονται οι εκδόσεις Magento Commerce και Open Source 2.2.11 (και παλαιότερες εκδόσεις).
Συνολικά, η Adobe έχει επιλύσει 13 ευπάθειες στο Magento. Οι μισές θεωρούνται κρίσιμες ενώ οι υπόλοιπες είναι σημαντικές ή μέτριες.
Οι CVE-2020-9576, CVE-2020-9578, CVE-2020-9582 και CVE-2020-9583 είχαν χαρακτηριστεί ως κρίσιμα command injection σφάλματα και η CVE-2020-9579, ως κρίσιμο ζήτημα παράκαμψης της ασφάλειας. Όλες αυτές οι ευπάθειες επιτρέπουν, επίσης, την εκτέλεση κώδικα.
Η Adobe ευχαρίστησε διάφορους ανεξάρτητους ερευνητές στον κυβερνοχώρο, καθώς και ερευνητικές ομάδες εταιρειών, όπως οι Trend Micro Zero Day Initiative και Fortinet’s FortiGuard Labs για την αναφορά των ζητημάτων ασφαλείας.