چاپ        ارسال به دوست

وصله‌ی آسيب‌پذيری‌های بحرانی محصولات Adobe

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که ۱۹ آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe_Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.

Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی ۲۹.۰.۰.۱۱۳  Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد. در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-۲۰۱۸-۴۹۳۲) و دو خطای نوشتن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۵ و CVE-۲۰۱۸-۴۹۳۷). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۳ و CVE-۲۰۱۸-۴۹۳۴) و همچنین یک اشکال سرریز پشته (CVE-۲۰۱۸-۴۹۳۶) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های ۶.۰ تا ۶.۳ را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-۲۰۱۸-۴۹۲۹) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-۲۰۱۸-۴۹۳۰, CVE-۲۰۱۸-۴۹۳۱) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-۲۰۱۸-۴۹۲۸) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE-۲۰۱۸-۴۹۲۷) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.
در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-2018-4925 و CVE-2018-4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های ۴.۵.۷ و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی ۲۰۱۶ ColdFusion به‌روزرسانی ۵ و پیش‌ از آن، همچنین ColdFusion ۱۱، به‌روزرسانی ۱۳ و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE-۲۰۱۸-۴۹۳۹ و CVE-۲۰۱۸-۴۹۴۲ اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-۲۰۱۸-۴۹۳۸)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-۲۰۱۸-۴۹۴۰) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-۲۰۱۸-۴۹۴۱) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است.
این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی ۲.۱.۰ برنامه‌‌های PhoneGap  پلاگین Push وجود دارد را حل می‌کند.
Adobe  به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.

منبع: https://www.certcc.ir/news/12370


 دسته‌ها: آسیب پذیری ها


١٠:٠٨ - دوشنبه ٣ ارديبهشت ١٣٩٧    /    شماره : ١٦٧٦٠    /    تعداد نمایش : ٣٣٤١



خروج