На этой неделе разработчики компании Adobe выпустили внеплановые патчи, исправляющие серьезные ошибки в составе таких продуктов, как Bridge, Illustrator и Magento.
Компания обнародовала три отдельных бюллетеня безопасности и исправления, в общей сложности устраняющие 35 уязвимостей, 25 из которых признаны критическими. Эксплуатация наиболее серьезных проблем из этого списка может привести к выполнению произвольного кода и раскрытию информации.
В Adobe Bridge было исправлено 14 критических ошибок, представлявших опасность для версий 10.0.4 и ниже на компьютерах под управлением Windows и macOS.
К критическим багам относятся: переполнения буфера стека (CVE-2020-9555), пара проблем переполнения буфера хипа (CVE-2020-9562 и CVE-2020-9563), ошибка, связанная с повреждением информации в памяти (CVE-2020-9568), две use-after-free проблемы (CVE-2020-9566 и CVE-2020-9567) а также восемь уязвимостей связанные с out-of-bounds записью (CVE-2020-9554, CVE-2020-9556, CVE-2020-9559 , CVE-2020-9560, CVE-2020-9561, CVE-2020-9564, CVE-2020-9565, CVE-2020-9569).
В случае использования злоумышленником все эти баги могут привести к выполнению произвольного кода в контексте текущего пользователя.
Также инженеры Adobe также исправили проблемы CVE-2020-9553, CVE-2020-9557 и CVE-2020-9558, получившие статус важных и связанные с out-of-bounds чтением, что приводило к раскрытию информации.
Уязвимости в Adobe Illustrator 2020, распространялись на версию 24.0.2 и более ранние. В данном случае стоит отметить баги CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573 и CVE-2020-9574, которые связаны с повреждением информации в памяти, которые тоже можно было использовать для выполнения произвольного кода.
И, как уже было сказано выше, собственный бюллетень безопасности получила e-commerce платформа Magento. Обнаруженные и устраненные уязвимости представляли опасность для Magento Commerce и Open Source (2.3.4 и более ранние версии), Magento Enterprise Edition (1.14.4.4 и более ранние версии), а также Magento Community Edition (1.9.4.4 и более ранние версии). Также перед проблемами уязвимы Magento Commerce и Open Source 2.2.11 и более ранних версий, но следует отметить, что поддержка Magento 2.2x была прекращена в 2019 году.
В общей сложности Adobe устранила 13 уязвимостей в Magento, половина из которых считается критическими. К ним относятся CVE-2020-9576, CVE-2020-9578, CVE-2020-9582 и CVE-2020-9583, допускающие инъекции команд, а также CVE-2020-9579, допускающая обход защитных механизмов. В случае использования каждая из этих проблем может повлечь выполнение произвольного кода.
За обнаружение уязвимостей Adobe поблагодарила множество независимых исследователей, а также представителей таких крупных компаний, как Trend Micro Zero Day Initiative и FortiGuard Labs.