شرکت ادوبی در به‌روزرسانی‌های امنیتی ماه آوریل، ۱۹ آسیب‌پذیری را وصله کرد

 

شرکت ادوبی در این سری از به روزرسانی های امنیتی خود، ۱۹ آسیب پذیری را در محصولاتش وصله کرد. این محصولات عبارتند از: Flash Player، Experience Manager، InDesign CC، Digital Editions، ColdFusion و PhoneGap Push plugin.


در مجموع ۶ آسیب پذیری حیاتی و مهم در ادوبی فلش پلیر با انتشار نسخه ی ۲۹٫۰٫۰٫۱۴۰ وصله شده است که از جمله‌ی این آسیب‌پذیری‌ها می‌توان به اشکالات استفاده پس از آزادسازی، خواندن خارج از محدوده، نوشتن خارج از محدوده و سرریز بافر مبتنی بر هیپ اشاره کرد که بهره‌برداری از این آسیب‌پذیری‌ها منجر به اجرای کد از راه دور و افشای اطلاعات می‌شود. 


در حالی‌که برخی از این آسیب‌پذیری ها حیاتی گزارش شده‌اند، ادوبی اعلام کرده که شواهدی مبنی بر بهره‌برداری از این آسیب‌پذیری‌ها وجود نداشته و احتمال توسعه‌ی بهره‌برداری توسط نفوذگران کم است. تعداد آسیب‌پذیری‌هایی که در ادوبی فلش‌پلیر وصله شده است به‌طور چشمگیری کاهش یافته چرا که این شرکت اعلام کرده تا سال ۲۰۲۰ میلادی این نرم‌افزار را به‌طور کامل کنار خواهد گذاشت. 


هرچند با این وجود، نفوذگران از کشف آسیب‌پذیری و بهره‌برداری از آن در ادوبی فلش‌پلیر دست برنداشته‌اند. در ماه فوریه شرکت ادوبی مجبور شد یک به‌روزرسانی ضروری را منتشر کند. در این به‌روزرسانی یک آسیب‌پذیری روز-صفرم وصله شده بود که توسط نفوذگران کره‌ی شمالی مورد بهره‌برداری قرار می‌گرفت.


در به‌روزرسانی ماه آوریل شرکت ادوبی که روز سه‌شنبه منتشر شده، ۳ آسیب‌پذیری XSS نیز در محصول Experience Manager وصله شده است. در InDesign CC نیز چند آسیب‌پذیری وصله شده که از جمله به یک آسیب‌پذیری حیاتی خرابی حافظه می‌توان اشاره کرد که بهره‌برداری از آن با استفاده از فایل‌های جعلی .inx منجر به اجرای کدهای دلخواه توسط نفوذگران می‌شود. یکی دیگر از آسیب‌پذیری‌ها نیز یک اشکال جستجوی مسیر غیرقابل‌اعتماد است که می‌تواند ارتقاء امیتازات مهاجم را به دنبال داشته باشد.


در آخرین نسخه از Adobe Digital Editions یک آسیب‌پذیری خواندن خارج از محدوده و سرریز بافر پشته وصله شده که بهره‌برداری از هر دوی این آسیب‌پذیری‌ها می‌تواند باعث افشای اطلاعات شود. برای نسخه‌ی ۱۱ از ColdFusion و انتشار مربوط به سال ۲۰۱۶ میلادی، به‌روزرسانی‌هایی منتشر شده است. در این بخش ۵ آسیب‌پذیری وصله شده که عبارتند از: ارتقاء امتیاز محلی، اجرای کد از راه دور و اشکال افشای اطلاعات. درن نهایت در Adobe PhoneGap Push plugin نیز اشکال اجرای روش same-origin برطرف شده که برنامه را در معرض اجرای کد JavaScript قرار می‌داد.
 

منبع

پست‌های مشابه

Leave a Comment

ده − هشت =