شرکت ادوبی این ماه در ۹ محصول، ۸۰ آسیب‌پذیری را وصله کرد

 

شرکت ادوبی روز سه شنبه به روزرسانی های امنیتی خود برای ماه نوامبر را منتشر کرد که در این سری، در ۹ محصول این شرکت از جمله فلش پلیر، فتوشاپ، آکروبات و ریدر، نزدیک به ۸۰ آسیب پذیری وصله شده است. بیشترین تعداد اشکالات، یعنی ۵۶ مورد از آسیب پذیری ها، در آکروبات و ریدر مربوط به سیستم های ویندوز و مک وجود دارد. 


در فهرست این آسیب پذیری ها می توان دسترسی به اشاره‌گر مقداردهی‌نشده، استفاده پس از آزادسازی، سرریز بافر، خواندن/نوشتن خارج از محدوده، اعتبارسنجی اندیس آرایه‌ها به‌طور نامناسب، دور زدن ویژگی‌های امنیتی را نام برد که برای اجرای کد از راه دور توسط مهاجمان مورد بهره‌برداری قرار می‌گیرند. 


در مجموع به ۱۶ شرکت و محقق مستقل، برای گزارش آسیب‌پذیری‌ها در آکروبات و ریدر به ادوبی، جایزه پرداخت شده است. این در حالی است که نصف آسیب‌پذیری‌ها توسط محققان از یک شرکت چینی با نام Tencent گزارش شده است. در به‌روزرسانی‌های فلش‌پلیر برای ویندوز، لینوکس و نسخه‌ی سیستم عاملی کروم، ۵ آسیب‌پذیری حیاتی خواندن خارج از محدوده و استفاده پس از آزادسازی وصله شده که بهره‌برداری از آن‌ها می‌تواند منجر به اجرای کد از راه دور شود. 


آسیب‌پذیری‌های حیاتی اجرای کد در نسخه‌های ویندوز و مک از فتوشاپ سی‌سی و نسخه‌ی ویندوزی Shockwave Player نیز وصله شده است. در ادوبی Connect نیز ۴ آسیب‌پذیری SSRF و XSS وصله شده است. همچنین در این محصول ویژگی امنیتی اضافه شده که به مدیران کمک می‌کند تا از کاربران در برابر حملات کلیک‌ربایی محافظت کنند. 


شرکت ادوبی همچنین به کاربران توصیه کرده تا Experience Manager را به‌روزرسانی کنند تا آسیب‌پذیری‌های متوسط و مهم XSS و افشای اطلاعات را وصله کنند. یک آسیب‌پذیری حیاتی خرابی حافظه در نسخه‌ی ویندوزی DNG Converter وجود دارد و مشکل مشابهی نیز در نسخه‌ی ویندوز و مک InDesign وصله شده است. 


شرکت ادوبی اعلام کرده شواهدی مبنی بر این وجود ندارد که در دنیای واقعی از این آسیب‌پذیری‌ها بهره‌برداری شده است. ماه گذشته شاهد بودیم که شرکت ادوبی اعلام کرد هیچ به‌روزرسانی امنیتی برای محصولات این شرکت وجود ندارد. در حالی‌که چند روز بعد مجبور شد یک به‌روزرسانی خارج از موعد منتشر کرده و یک آسیب‌پذیری روز-صفرم را وصله کند که در حملاتی برای توزیع جاسوس‌افزار مورد بهره‌برداری قرار گرفته بود. 
 

منبع

پست‌های مشابه

Leave a Comment