انتشار وصله‌های امنیتی خارج از موعد برای ۸۲ آسیب‌پذیری موجود در محصولات مختلف ادوبی

براساس گزارش‌های منتشرشده در تاریخ ۱۵ اکتبر، سومین سه‌شنبه‌ی ماه جاری، شرکت نرم‌افزاری ادوبی (Adobe) به‌منظور وصله‌کردن ۸۲ آسیب‌پذیری موجود در محصولات مختلف خود، به‌روزرسانی‌های امنیتی خارج از موعد را منتشر کرده است. محصولات آسیب‌دیده‌ای که این وصله‌های امنیتی را دریافت کرده‌اند، عبارتند از؛

• Adobe Acrobat and Reader
• Adobe Experience Manager
• Adobe Experience Manager Forms
• Adobe Download Manager

از میان این ۸۲ آسیب‌پذیری امنیتی، ۴۵ مورد با شدت «بحرانی» رتبه‌بندی شده و تمامی آن‌ها، محصول Adobe Acrobat and Reader را تحت تأثیر قرار می‌دهند. در صورت بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها، امکان اجرای کد دلخواه در متن و محتوای کاربر فعلی برای مهاجم فراهم می‌شود.

۲۶ مورد از آسیب‌پذیری‌های دارای درجه‌ی بحرانی موجود در Adobe Acrobat and Reader ناشی از اشکال استفاده پس از آزادسازی، ۶ مورد ناشی از اشکال نوشتن خارج از محدوده، ۴ مورد از نوع type confusion، ۴ مورد ناشی از اشکال untrusted pointer dereference، ۳ مورد از نوع heap overflow، یک مورد از نوع buffer overrun و یک مورد دیگر از نوع اشکال‌های race condition هستند.

۲۳ مورد از آسیب‌پذیری‌های با شدت «مهم» موجود در محصول Adobe Acrobat and Reader برای سیستم‌های عامل‌ ویندوز مایکروسافت و macOS اپل نیز وصله شده‌اند. بهره‌برداری موفقیت‌آمیز از این آسیب‌پذیری‌ها می‌تواند منجر به حملات افشای اطلاعاتی ناشی از اشکال‌های امنیتی out-of-bounds read و cross-site scripting شود.

محصول Adobe Experience Manager، یک راه‌حل جامع مدیریت محتوا برای ساخت وب‌سایت‌ها، برنامه‌های تلفن همراه و فرم‌ها نیز ۱۲ وصله‌ی امنیتی را دریافت کرده است. ۸ مورد از این آسیب‌پذیری‌ها با شدت «مهم» و بقیه با شدت «متوسط» طبقه‌بندی شده‌اند.

دو آسیب‌پذیری وصله‌شده‌ی دیگر نیز شامل: یک اشکال امنیتی افشای اطلاعات با شدت «متوسط» موجود در محصول Adobe Experience Manager Forms برای تمام سیستم‌های عامل و یک اشکال ارتقاء امتیاز با شدت «مهم» در نسخه‌ی ویندوز محصول Adobe Download Manager هستند.

با کمال تعجب، محصول Adobe Flash Player این بار هیچ وصله‌ی امنیتی را دریافت نکرده است. لازم به ذکر است که شرکت ادوبی از پایان سال ۲۰۲۰ میلادی ارائه‌ی به‌روزرسانی‌ها برای محصول Flash Player را متوقف خواهد کرد.

تمام به‌روزرسانی‌های منتشرشده برای محصولات Acrobat and Reader و Experience Manager، رتبه‌ی ۲ را کسب کرده‌اند، به این معنا که آسیب‌پذیری‌های مشابه پیش از این در دنیای واقعی مورد بهره‌برداری قرار گرفته بودند، اما درحال‌حاضر، این شرکت هیچ مدرکی مبنی‌بر بهره‌برداری از این آسیب‌پذیری‌ها در دنیای واقعی پیدا نکرده است.

از سوی دیگر، به‌روزرسانی‌های منتشرشده برای محصولات Adobe Experience Manager Forms و Adobe Download Manager رتبه‌ی ۳ را کسب کرده‌اند، به این معنا که مطابق با یادداشت‌های ادوبی، آسیب‌پذیری‌های وصله‌شده در این به‌روزرسانی، احتمالاً در حملات مورد بهره‌برداری قرار نخواهند گرفت.

اگرچه هیچ یک از آسیب‌پذیری‌های امنیتی وصله‌شده در این به‌روزرسانی، به‌صورت عمومی افشا نشده یا در دنیای واقعی مورد بهره‌برداری قرار نگرفته‌اند، به کاربران توصیه می‌شود تا آخرین نسخه‌های نرم‌افزارهای تحت تأثیر را دانلود کرده و در اولین فرصت، وصله‌های امنیتی منتشرشده را اعمال کنند. اگر سیستم شما نیز هنوز دسترسی به این به‌روزرسانی‌های جدید را به‌صورت خودکار تشخیص نداده است، می‌بایست با رفتن به بخش Help → Check for Updates در نرم‌افزارهای ادوبی برای سیستم‌های عامل ویندوز، macOS، لینوکس و Chrome OS این به‌روزرسانی‌ها را به‌صورت دستی نصب کنید.

منبع