Η Adobe κυκλοφόρησε μια σειρά out-of-band ενημερώσεων ασφαλείας για τη διόρθωση σημαντικών ζητημάτων στην πλατφόρμα Magento.
Οι ενημερώσεις κυκλοφόρησαν στις 15 Οκτωβρίου και δεν ανήκουν στο καθιερωμένο μηνιαίο patch που εκδίδει η Adobe. Οι ενημερώσεις διορθώνουν εννέα ευπάθειες, οκτώ εκ των οποίων θεωρούνται κρίσιμες ή σοβαρές. Το τελευταίο σφάλμα θεωρείται μέτριας σοβαρότητας.
Οι ευπάθειες επηρεάζουν το Magento Commerce και το Magento Open Source, τις εκδόσεις 2.3.5-p1, 2.4.0 και τις παλαιότερες εκδόσεις.
Οι πιο κρίσιμες ευπάθειες στην πλατφόρμα Adobe Magento, που έχουν πλέον επιλυθεί με τις νέες ενημερώσεις, είναι γνωστές ως CVE-2020-24407 και CVE-2020-24400. Οι ευπάθειες επιτρέπουν την εκτέλεση κώδικα ή την πρόσβαση σε βάσεις δεδομένων. Ωστόσο, και στις δύο περιπτώσεις, ο επιτιθέμενος θα πρέπει πρώτα να αποκτήσει δικαιώματα διαχειριστή για να μπορέσει να εκμεταλλευτεί τις ευπάθειες.
Επιπλέον, η Adobe αντιμετώπισε μια άλλη ευπάθεια (CVE-2020-24402), που επιτρέπει στους επιτιθέμενους να χειριστούν και να τροποποιήσουν τις λίστες πελατών.
Σύμφωνα με το ZDNet, άλλες ευπάθειες που διορθώθηκαν, περιλαμβάνουν: ένα cross-site scripting (XSS) σφάλμα (CVE-2020-24408), ένα σφάλμα ακύρωσης περιόδου σύνδεσης (CVE-2020-24401), μια ευπάθεια ασφαλείας που επιτρέπει στις σελίδες Magento CMS να τροποποιούνται χωρίς άδεια του χρήστη (CVE-2020-24404 ) και δύο σφάλματα που εμποδίζουν την πρόσβαση σε πόρους (CVE-2020-24405 και CVE-2020-24403).
Σύμφωνα με την Adobe, το λιγότερο επικίνδυνο σφάλμα (CVE-2020-24406) είναι η ακούσια αποκάλυψη του root path ενός εγγράφου, που θα μπορούσε να οδηγήσει σε αποκάλυψη ευαίσθητων πληροφοριών.
Στο καθιερωμένο μηνιαίο patch, η Adobe διόρθωσε μια κρίσιμη ευπάθεια στο Flash για Windows, macOS, Linux και Chrome OS. Αυτή η ευπάθεια (CVE-2020-9746) θα μπορούσε να χρησιμοποιηθεί για software crashes ή για την εκτέλεση κακόβουλου κώδικα.
Αυτή την εβδομάδα, κυκλοφόρησε και η Microsoft τις δικές της ενημερώσεις ασφαλείας (Patch Tuesday Οκτωβρίου 2020) για τη διόρθωση ευπαθειών σε πολλά προϊόντα της. Συνολικά, η εταιρεία διορθώνει 87 ευπάθειες. Οι 21 από αυτές επιτρέπουν την εκτέλεση κώδικα και επηρεάζουν τα Outlook, Excel και Windows TCP/IP stack.