На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition.
В After Effects было устранено пять критических уязвимостей (CVE-2020-9661, CVE-2020-9660, CVE-2020-9662, CVE-2020-9637, CVE-2020-9638), связанных с out-of-bounds записью, чтением и переполнением хипа. Проблемы позволяли выполнить произвольный код в контексте текущего пользователя.
Еще пять критических RCE-уязвимостей (CVE-2020-9642, CVE-2020-9575, CVE-2020-9641, CVE-2020-9640, CVE-2020-9639), вызванных проблемами с буфером и повреждением информации в памяти, были исправлены в коде Adobe Illustrator.
В Premiere Pro для Windows и macOS были исправлены три ошибки (CVE-2020-9653, CVE-2020-9654, CVE-2020-9652), связанные с out-of-bounds записью и чтением. Эти проблемы тоже могли привести к выполнению произвольного кода. Уязвимости того же типа, тоже в количестве трех штук, были обнаружены и исправлены в составе Premiere Rush (CVE-2020-9656, CVE-2020-9657, CVE-2020-9655).
Наконец, в Adobe Audition, предназначенном для записи и редактирования аудио, были устранены две уязвимости out-of-bounds записи (CVE-2020-9658 и CVE-2020-9659), которые тоже допускали выполнение произвольного кода.
Adobe уверяет, что пока ей неизвестно о каких-либо атаках с использованием этих багов, и, хотя все уязвимости были оценены как критические, они получили приоритет «3», а это означает, что в компании не ожидают, что уязвимости вообще будут использоваться злоумышленниками.