Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчик закрыл 25 уязвимостей в четырех продуктах; наибольшее количество проблем накопил Acrobat / Reader.
Компания Adobe Systems в плановом порядке устранила 25 уязвимостей в Acrobat / Reader, Photoshop, текстовом редакторе Brackets и платформе ColdFusion. Семнадцать проблем безопасности грозят исполнением произвольного кода и признаны критическими. Данных об использовании какого-либо из новых багов в атаках пока нет.
В Adobe Acrobat и Reader для Windows и?macOS закрыто 14 RCE-уязвимостей, связанных с критическими ошибками — такими как запись за границами буфера, использование освобожденной памяти, переполнение буфера, разыменование недоверенного указателя, обход защиты. Еще семь проблем в программах для работы с PDF-файлами разработчик оценил как существенные.
Пользователям Acrobat DC / Acrobat Reader DC Continuous рекомендуется обновить продукт до сборки 2019.021.20058, Acrobat / Acrobat Reader Classic 2017 — до 2017.011.30156, Acrobat / Acrobat Reader Classic 2015 — до 2015.006.30508. Несмотря на отсутствие данных о наличии рабочих эксплойтов, обновлениям присвоен приоритет 2, так как эти программы относятся к группе повышенного риска. Согласно рейтингу Adobe, приоритет 2 также означает, что патчи следует установить в течение месяца.
В Adobe Photoshop CC для Windows и?macOS устранили два критических бага нарушения целостности памяти, которые при использовании могли привести к исполнению стороннего кода в контексте текущего пользователя. Обновлениям 20.0.8 и 21.0.2 назначен приоритет 3, то есть их можно устанавливать в сроки по своему усмотрению.
Критическая RCE-уязвимость также выявлена в ПО с открытым исходным кодом Brackets — редакторе для веб-разработчиков. Согласно бюллетеню Adobe, проблема вызвана возможностью внедрения команд и проявляется в продуктах ветки 1.14 на всех платформах (Windows, Linux и macOS). Патч включен в состав обновления 1.14.1, с установкой которого можно повременить.
Единственная заплатка для набора инструментов разработки ColdFusion закрывает возможность повышения привилегий, возникшую из-за небезопасных унаследованных разрешений для каталога установки, используемого по умолчанию. Уязвимости подвержены все выпуски ColdFusion 2018 до Update 6 включительно; избавиться от проблемы поможет установка пакета Update 7. Однако обновление ColdFusion, со слов Adobe, не способно полностью обезопасить сервер. С этой целью рекомендуется также предельно актуализировать среду исполнения Java-приложений — виртуальную машину, входящую в комплект разработчика JDK.
Декабрьский набор плановых патчей для продуктов Adobe оказался более объемным, чем предыдущий. В прошлом месяце разработчик устранил 11 уязвимостей, и лишь три из них получили оценку «критическая».
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |