Adobe发布了安全修补程序来解决DNG、Reader和Acrobat软件中存在的36个漏洞。
周二,这家软件巨头发布了两个安全建议(1,2),详细说明了这些漏洞,其中最严重的漏洞可被攻击者利用,以触发远程代码执行攻击和信息泄露。
第一套补丁与适用于Windows和MacOS的Adobe Acrobat和Reader相关,包括Acrobat/Acrobat Reader版本2015和2017,以及Acrobat和Acrobat Reader DC。
总共解决了12个关键安全漏洞。其中六个错误、单个堆溢出问题(CVE-2020-9612)、两个越界写入错误(CVE-2020-9597、CVE-2020-9594)、两个缓冲区溢出问题(CVE-2020-9605、CVE-2020-9604)和两个释放后使用漏洞(CVE-2020-9607、CVE-2020-9606)都可能导致在当前用户的上下文中执行任意代码。
其余问题(现已修补)包括争用条件错误(CVE-2020-9615)和四个安全绕过错误(CVE-2020-9614、CVE-2020-9613、CVE-2020-9596、CVE-2020-9592)。
Acrobat和Reader还披露了12个被认为重要的漏洞。已修补空指针、堆栈耗尽、越界读取和无效内存访问问题。如果被利用,这些漏洞可以被武器化,用于信息泄露和应用程序拒绝服务。
Adobe的DNG软件开发工具包(SDK),版本1.5和更早的 ,是第二个安全建议的主题。
最严重的漏洞是四个堆溢出问题(CVE-2020-9589、CVE-2020-9590、CVE-2020-9620、CVE-2020-9621),它们都可能导致远程代码执行攻击。
此外,还修复了软件中的8个越界读取问题(CVE-2020-9622、CVE-2020-9623、CVE-2020-9624、CVE-2020-9625、CVE-2020-9626、CVE-2020-9627、CVE-2020-9628、CVE-2020-9629)。如果利用这些问题,可能会导致信息泄露。
Google Project Zero的安全团队报告了越界问题。该团队表示,在特定情况下,安全缺陷也可能导致系统崩溃。
用户应该下载或接受软件版本的自动更新,以降低利用漏洞的风险。
Adobe感谢Trend Micro的Zero Day Initiative、Cisco Talos、iDefense Labs和Google Project Zero等机构的研究人员报告了这些漏洞。
微软也发布了每月例行的安全更新。总共解决了12个产品的111个漏洞,其中最严重的是远程代码执行错误。
上个月,Adobe发布了一个带外补丁来解决Bridge、Illustrator和Magento中的35个严重安全问题。其中25个安全漏洞被认为是严重的,可能会导致信息泄漏和代码执行。
有小费吗?通过WhatsApp|Signal+447713 025499或通过KeyBase:charlie0安全联系