Компания Adobe выпустила два внеплановых патча After Effects и Media Encoder, исправив критические уязвимости, которые могут использоваться для удаленного выполнения произвольного кода в контексте текущего пользователя. К счастью, пока нет информации о том, что какая-то из этих ошибок уже используется хакерами.
Обе проблемы связаны с out-of-bounds записью в память, и для их эксплуатации злоумышленнику достаточно убедить жертву открыть специально подготовленный файл с помощью уязвимого ПО. Ошибки были обнаружены специалистами Trend Micro Zero Day Initiative и независимым ИБ-экспертом Фрэнсисом Провенчером (Francis Provencher)
Первая уязвимость, CVE-2020-3764, затрагивает Adobe Media Encoder 14.0 и более ранних версий, а вторая уязвимость, CVE-2020-3765, касается Adobe After Effects 16.1.2 и более ранних версий.
Напомню, что ранее в этом месяце, в рамках планового «вторника обновлений», Adobe уже исправила 42 уязвимости в своих продуктах, более 30 из которых имели статус критических.