انتشار وصله به روز رسانی آسيب‌پذيری‌های مهم محصولات Adobe

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.

Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است، وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد. در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE  2018 4932) و دو خطای نوشتن خارج از نوبت (CVE 2018 4935 و CVE 2018 4937). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE 2018 4933 و CVE 2018 4934) و همچنین یک اشکال سرریز پشته (CVE 2018 4936) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.

سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های 6.0 تا 6.3 را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE 2018 4929) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE 2018 4930, CVE 2018 4931) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.

Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE 2018 4928) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE 2018 4927) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.

در Adobe Digital Edition نیز دو آسیب‌پذیری CVE 2018 4925 و CVE 2018 4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های 4.5.7 و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.

مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی 2016 ColdFusion به‌روزرسانی 5 و پیش‌ از آن، همچنین ColdFusion 11، به‌روزرسانی 13 و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE 2018 4939 و CVE 2018 4942 اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.

Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE 2018 4938)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE 2018 4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE 2018 4941) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است.

این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی 2.1.0 برنامه‌‌های PhoneGap  پلاگین Push وجود دارد را حل می‌کند.

Adobe  به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.

منبع : مرکز ماهر