Η τελευταία προγραμματισμένη ενημέρωση ασφαλείας της Adobe για το έτος έχει διορθώσει κάποιες κρίσιμες ευπάθειες στο Lightroom, το Prelude και το Experience Manager.
Τα patches που κυκλοφόρησαν την Τρίτη από την γιγαντιαία εταιρεία αντιμετωπίζουν τέσσερα τρωτά σημεία, τρία από τα οποία κρίνονται κρίσιμα.
Η πρώτη επιδιόρθωση εκδόθηκε για το Adobe Lightroom, λογισμικό επεξεργασίας εικόνων που είναι δημοφιλές στους επαγγελματίες φωτογράφους. Η ευπάθεια που αναφέρεται ως CVE-2020-24447 – περιγράφεται ως μια μη ελεγχόμενη ευπάθεια αναζήτησης path element που οδηγεί σε αυθαίρετη εκτέλεση κώδικα και επηρεάζει το Lightroom Classic έκδοση 10.0 και μεταγενέστερες εκδόσεις σε υπολογιστές Windows και macOS.
Ένα δεύτερο κρίσιμο σφάλμα εντοπίστηκε στο AdobePrelude για Windows και macOS, έκδοση 9.01 και παλαιότερες εκδόσεις. Η σοβαρή ευπάθεια CVE-2020-24440 έχει προκληθεί από ένα ανεξέλεγκτο search path και εάν αξιοποιηθεί από εισβολείς, μπορεί να οδηγήσει σε “αυθαίρετη εκτέλεση κώδικα στο πλαίσιο του τρέχοντος χρήστη”, αναφέρει η Adobe.
Το τρίτο security advisory της Adobe σχετίζεται με το Adobe Experience Manager (AEM) και το πρόσθετο πακέτο AEM Forms σε όλες τις πλατφόρμες.
Δύο ευπάθειες έχουν διορθωθεί σε αυτά τα πακέτα λογισμικού. Η πρώτη, CVE-2020-24445, είναι ένα κρίσιμο σφάλμα στο AEM CS και βρίσκεται επίσης στο AEM 6.5.6.0/6.4.8.2/6.3.3.8 και σε νεότερες εκδόσεις.
Το CVE-2020-24445 είναι ένα αποθηκευμένο ελάττωμα cross-site scripting (XSS) που μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση JavaScript στο πρόγραμμα περιήγησης.
Το δεύτερο ελάττωμα ασφαλείας, CVE-2020-24444, είναι μια “σημαντική” ευπάθεια που βρίσκεται στο πρόσθετο AEM Forms SP6 για AEM 6.5.6.0 και το πρόσθετο πακέτο AEM Forms για AEM 6.4 Service Pack 8 Cumulative Fix Pack 2 (6.4.8.2). Αυτή η ευπάθεια είναι ένα τυφλό ζήτημα πλαστογράφησης αιτήματος server που μπορεί να ενεργοποιηθεί για σκοπούς αποκάλυψης πληροφοριών.
Η Adobe ευχαρίστησε τον ερευνητή Hou JingYi του Qihoo 360 CERT, καθώς και τους Frank Karlstrøm και Kenny Jansson του Storebrand Group, για την αναφορά των ζητημάτων ασφαλείας.
Η ενημερωμένη έκδοση ασφαλείας του Νοεμβρίου της Adobe αντιμετώπισε μερικές ακόμη ευπάθειες, δύο από τις οποίες βρέθηκαν στο λογισμικό απομακρυσμένης διάσκεψης Connect και ένα στο Reader. Τα σφάλματα του Connect θα μπορούσαν να αξιοποιηθούν για την εκτέλεση JavaScript σε ένα πρόγραμμα περιήγησης, ενώ το πρόβλημα του Reader θα μπορούσε να χρησιμοποιηθεί για διαρροή πληροφοριών.
Στην τελευταία ενημέρωση της Microsoft για το έτος, που κυκλοφόρησε την Τρίτη, η γιγαντιαία εταιρεία διόρθωσε 58 ευπάθειες, 22 εκ των οποίων είναι ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE).
