براساس گزارشهای منتشرشده در تاریخ ۱۵ اکتبر، سومین سهشنبهی ماه جاری، شرکت نرمافزاری ادوبی (Adobe) بهمنظور وصلهکردن ۸۲ آسیبپذیری موجود در محصولات مختلف خود، بهروزرسانیهای امنیتی خارج از موعد را منتشر کرده است. محصولات آسیبدیدهای که این وصلههای امنیتی را دریافت کردهاند، عبارتند از؛
- Adobe Acrobat and Reader
- Adobe Experience Manager
- Adobe Experience Manager Forms
- Adobe Download Manager
از میان این ۸۲ آسیبپذیری امنیتی، ۴۵ مورد با شدت «بحرانی» رتبهبندی شده و تمامی آنها، محصول Adobe Acrobat and Reader را تحت تأثیر قرار میدهند. در صورت بهرهبرداری موفقیتآمیز از این آسیبپذیریها، امکان اجرای کد دلخواه در متن و محتوای کاربر فعلی برای مهاجم فراهم میشود.
۲۶ مورد از آسیبپذیریهای دارای درجهی بحرانی موجود در Adobe Acrobat and Reader ناشی از اشکال استفاده پس از آزادسازی، ۶ مورد ناشی از اشکال نوشتن خارج از محدوده، ۴ مورد از نوع type confusion، ۴ مورد ناشی از اشکال untrusted pointer dereference، ۳ مورد از نوع heap overflow، یک مورد از نوع buffer overrun و یک مورد دیگر از نوع اشکالهای race condition هستند.
۲۳ مورد از آسیبپذیریهای با شدت «مهم» موجود در محصول Adobe Acrobat and Reader برای سیستمهای عامل ویندوز مایکروسافت و macOS اپل نیز وصله شدهاند. بهرهبرداری موفقیتآمیز از این آسیبپذیریها میتواند منجر به حملات افشای اطلاعاتی ناشی از اشکالهای امنیتی out-of-bounds read و cross-site scripting شود.
محصول Adobe Experience Manager، یک راهحل جامع مدیریت محتوا برای ساخت وبسایتها، برنامههای تلفن همراه و فرمها نیز ۱۲ وصلهی امنیتی را دریافت کرده است. ۸ مورد از این آسیبپذیریها با شدت «مهم» و بقیه با شدت «متوسط» طبقهبندی شدهاند.
دو آسیبپذیری وصلهشدهی دیگر نیز شامل: یک اشکال امنیتی افشای اطلاعات با شدت «متوسط» موجود در محصول Adobe Experience Manager Forms برای تمام سیستمهای عامل و یک اشکال ارتقاء امتیاز با شدت «مهم» در نسخهی ویندوز محصول Adobe Download Manager هستند.
با کمال تعجب، محصول Adobe Flash Player این بار هیچ وصلهی امنیتی را دریافت نکرده است. لازم به ذکر است که شرکت ادوبی از پایان سال ۲۰۲۰ میلادی ارائهی بهروزرسانیها برای محصول Flash Player را متوقف خواهد کرد.
تمام بهروزرسانیهای منتشرشده برای محصولات Acrobat and Reader و Experience Manager، رتبهی ۲ را کسب کردهاند، به این معنا که آسیبپذیریهای مشابه پیش از این در دنیای واقعی مورد بهرهبرداری قرار گرفته بودند، اما درحالحاضر، این شرکت هیچ مدرکی مبنیبر بهرهبرداری از این آسیبپذیریها در دنیای واقعی پیدا نکرده است.
از سوی دیگر، بهروزرسانیهای منتشرشده برای محصولات Adobe Experience Manager Forms و Adobe Download Manager رتبهی ۳ را کسب کردهاند، به این معنا که مطابق با یادداشتهای ادوبی، آسیبپذیریهای وصلهشده در این بهروزرسانی، احتمالاً در حملات مورد بهرهبرداری قرار نخواهند گرفت.
اگرچه هیچ یک از آسیبپذیریهای امنیتی وصلهشده در این بهروزرسانی، بهصورت عمومی افشا نشده یا در دنیای واقعی مورد بهرهبرداری قرار نگرفتهاند، به کاربران توصیه میشود تا آخرین نسخههای نرمافزارهای تحت تأثیر را دانلود کرده و در اولین فرصت، وصلههای امنیتی منتشرشده را اعمال کنند. اگر سیستم شما نیز هنوز دسترسی به این بهروزرسانیهای جدید را بهصورت خودکار تشخیص نداده است، میبایست با رفتن به بخش Help → Check for Updates در نرمافزارهای ادوبی برای سیستمهای عامل ویندوز، macOS، لینوکس و Chrome OS این بهروزرسانیها را بهصورت دستی نصب کنید.