شرکت ادوبی روز سه شنبه به روزرسانی های امنیتی خود برای ماه نوامبر را منتشر کرد که در این سری، در ۹ محصول این شرکت از جمله فلش پلیر، فتوشاپ، آکروبات و ریدر، نزدیک به ۸۰ آسیب پذیری وصله شده است. بیشترین تعداد اشکالات، یعنی ۵۶ مورد از آسیب پذیری ها، در آکروبات و ریدر مربوط به سیستم های ویندوز و مک وجود دارد.
در فهرست این آسیب پذیری ها می توان دسترسی به اشارهگر مقداردهینشده، استفاده پس از آزادسازی، سرریز بافر، خواندن/نوشتن خارج از محدوده، اعتبارسنجی اندیس آرایهها بهطور نامناسب، دور زدن ویژگیهای امنیتی را نام برد که برای اجرای کد از راه دور توسط مهاجمان مورد بهرهبرداری قرار میگیرند.
در مجموع به ۱۶ شرکت و محقق مستقل، برای گزارش آسیبپذیریها در آکروبات و ریدر به ادوبی، جایزه پرداخت شده است. این در حالی است که نصف آسیبپذیریها توسط محققان از یک شرکت چینی با نام Tencent گزارش شده است. در بهروزرسانیهای فلشپلیر برای ویندوز، لینوکس و نسخهی سیستم عاملی کروم، ۵ آسیبپذیری حیاتی خواندن خارج از محدوده و استفاده پس از آزادسازی وصله شده که بهرهبرداری از آنها میتواند منجر به اجرای کد از راه دور شود.
آسیبپذیریهای حیاتی اجرای کد در نسخههای ویندوز و مک از فتوشاپ سیسی و نسخهی ویندوزی Shockwave Player نیز وصله شده است. در ادوبی Connect نیز ۴ آسیبپذیری SSRF و XSS وصله شده است. همچنین در این محصول ویژگی امنیتی اضافه شده که به مدیران کمک میکند تا از کاربران در برابر حملات کلیکربایی محافظت کنند.
شرکت ادوبی همچنین به کاربران توصیه کرده تا Experience Manager را بهروزرسانی کنند تا آسیبپذیریهای متوسط و مهم XSS و افشای اطلاعات را وصله کنند. یک آسیبپذیری حیاتی خرابی حافظه در نسخهی ویندوزی DNG Converter وجود دارد و مشکل مشابهی نیز در نسخهی ویندوز و مک InDesign وصله شده است.
شرکت ادوبی اعلام کرده شواهدی مبنی بر این وجود ندارد که در دنیای واقعی از این آسیبپذیریها بهرهبرداری شده است. ماه گذشته شاهد بودیم که شرکت ادوبی اعلام کرد هیچ بهروزرسانی امنیتی برای محصولات این شرکت وجود ندارد. در حالیکه چند روز بعد مجبور شد یک بهروزرسانی خارج از موعد منتشر کرده و یک آسیبپذیری روز-صفرم را وصله کند که در حملاتی برای توزیع جاسوسافزار مورد بهرهبرداری قرار گرفته بود.