Adobe针对DNG、Reader、Acrobat中的36个漏洞发布修补程序

2020-05-15 11:36:43

Adobe发布了安全修补程序来解决DNG、Reader和Acrobat软件中存在的36个漏洞。

周二,这家软件巨头发布了两个安全建议(1,2),详细说明了这些漏洞,其中最严重的漏洞可被攻击者利用,以触发远程代码执行攻击和信息泄露。

第一套补丁与适用于Windows和MacOS的Adobe Acrobat和Reader相关,包括Acrobat/Acrobat Reader版本2015和2017,以及Acrobat和Acrobat Reader DC。

总共解决了12个关键安全漏洞。其中六个错误、单个堆溢出问题(CVE-2020-9612)、两个越界写入错误(CVE-2020-9597、CVE-2020-9594)、两个缓冲区溢出问题(CVE-2020-9605、CVE-2020-9604)和两个释放后使用漏洞(CVE-2020-9607、CVE-2020-9606)都可能导致在当前用户的上下文中执行任意代码。

其余问题(现已修补)包括争用条件错误(CVE-2020-9615)和四个安全绕过错误(CVE-2020-9614、CVE-2020-9613、CVE-2020-9596、CVE-2020-9592)。

Acrobat和Reader还披露了12个被认为重要的漏洞。已修补空指针、堆栈耗尽、越界读取和无效内存访问问题。如果被利用,这些漏洞可以被武器化,用于信息泄露和应用程序拒绝服务。

Adobe的DNG软件开发工具包(SDK),版本1.5和更早的 ,是第二个安全建议的主题。

最严重的漏洞是四个堆溢出问题(CVE-2020-9589、CVE-2020-9590、CVE-2020-9620、CVE-2020-9621),它们都可能导致远程代码执行攻击。

此外,还修复了软件中的8个越界读取问题(CVE-2020-9622、CVE-2020-9623、CVE-2020-9624、CVE-2020-9625、CVE-2020-9626、CVE-2020-9627、CVE-2020-9628、CVE-2020-9629)。如果利用这些问题,可能会导致信息泄露。

Google Project Zero的安全团队报告了越界问题。该团队表示,在特定情况下,安全缺陷也可能导致系统崩溃。

用户应该下载或接受软件版本的自动更新,以降低利用漏洞的风险。

Adobe感谢Trend Micro的Zero Day Initiative、Cisco Talos、iDefense Labs和Google Project Zero等机构的研究人员报告了这些漏洞。

微软也发布了每月例行的安全更新。总共解决了12个产品的111个漏洞,其中最严重的是远程代码执行错误。

上个月,Adobe发布了一个带外补丁来解决Bridge、Illustrator和Magento中的35个严重安全问题。其中25个安全漏洞被认为是严重的,可能会导致信息泄漏和代码执行。

有小费吗?通过WhatsApp|Signal+447713 025499或通过KeyBase:charlie0安全联系