Adobe بهروزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیبپذیری بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونهی Adobe PhoneGap Push را برطرف میسازد.
Adobe Flash که معمولاً شامل آسیبپذیریهای امنیتی این شرکت است، وصلههایی دریافت کرده است که آسیبپذیریهای بحرانی نسخهی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستمهای ویندوز، مکینتاش، لینوکس و سیستمعامل کروم برطرف میسازد. در کل سه آسیبپذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE 2018 4932) و دو خطای نوشتن خارج از نوبت (CVE 2018 4935 و CVE 2018 4937). همهی این آسیبپذیریها درصورتیکه مورد سوءاستفاده قرار گیرند میتوانند منجر به اجرای ازراهدور کد شوند. علاوهبراین، Adobe دو اشکال خواندن خارج از نوبت (CVE 2018 4933 و CVE 2018 4934) و همچنین یک اشکال سرریز پشته (CVE 2018 4936) را نیز وصله کرده است. این آسیبپذیریها میتوانند منجر به افشای اطلاعات شوند.
سه آسیبپذیری در Adobe Experience Manager نیز رفع شدهاند. این بهروزرسانی نسخههای 6.0 تا 6.3 را تحتتأثیر قرار میدهد و یک آسیبپذیری تزریق کد از طریق وبگاه ذخیرهشده (stored Cross-Site scripting) (CVE 2018 4929) و دو آسیبپذیری تزریق کد از طریق وبگاه (CVE 2018 4930, CVE 2018 4931) را برطرف میسازد. تمامی این آسیبپذیریهای میتوانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه بهروزرسانی دریافت کرده است. یک آسیبپذیری بحرانی خرابی حافظه (CVE 2018 4928) که درنتیجهی تجزیهی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیبپذیری مسیر جستجوی نامعتبر (CVE 2018 4927) در نصب InDesign در این بهروزرسانی وصله شدهاند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد میتواند منجر به اجرای کد دلخواه و اگر آسیبپذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد میتواند منجر به افزایش مجوزهای محلی شود.
در Adobe Digital Edition نیز دو آسیبپذیری CVE 2018 4925 و CVE 2018 4926 وصله شدهاند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخههای 4.5.7 و پایینتر را تحتتأثیر قرار میدهند میتوانند منجر به افشای اطلاعات شوند.
مجموعهای از آسیبپذیریهای مربوط به ColdFusion نیز برطرف شدهاند. این اشکالات در نسخهی 2016 ColdFusion بهروزرسانی 5 و پیش از آن، همچنین ColdFusion 11، بهروزرسانی 13 و نسخههای قبل از آن وجود دارند. دو آسیبپذیری بحرانی CVE 2018 4939 و CVE 2018 4942 اشکالاتی هستند که اجازهی بینظمی در اطلاعات غیرقابلاعتماد و پردازش موجودیت خارجی XML ناامن را میدهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند میتوانند منجر به اجرای ازراهدور کد و افشای اطلاعات شوند.
Adobe یک کتابخانهی ناامن دارای آسیبپذیری (CVE 2018 4938)، آسیبپذیری اسکریپتنویسی از طریق وبگاه که میتواند منجر به تزریق کد شود (CVE 2018 4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE 2018 4941) که میتواند منجر به نشت اطلاعات شود را نیز وصله کرده است.
این بهروزرسانی امنیتی یک آسیبپذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیبپذیری مهم Same- Origin Method Execution (SOME) که در نسخهی 2.1.0 برنامههای PhoneGap پلاگین Push وجود دارد را حل میکند.
Adobe به کاربران توصیه میکند که محصولات این نرمافزار را در اسرع وقت به آخرین نسخه بهروزرسانی کنند تا از سوءاستفادههای بالقوهی این اشکالات در امان بمانند.
منبع : مرکز ماهر