На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition.

­­В After Effects было устранено пять критических уязвимостей (CVE-2020-9661, CVE-2020-9660, CVE-2020-9662, CVE-2020-9637, CVE-2020-9638), связанных с out-of-bounds записью, чтением и переполнением хипа. Проблемы позволяли выполнить произвольный код в контексте текущего  пользователя.

Еще пять критических RCE-уязвимостей (CVE-2020-9642, CVE-2020-9575, CVE-2020-9641, CVE-2020-9640, CVE-2020-9639), вызванных проблемами с буфером и повреждением информации в памяти, были исправлены в коде Adobe Illustrator.

В Premiere Pro для Windows и macOS были исправлены три ошибки (CVE-2020-9653, CVE-2020-9654, CVE-2020-9652), связанные с out-of-bounds записью и чтением. Эти проблемы тоже могли привести к выполнению произвольного кода.  Уязвимости того же типа, тоже в количестве трех штук, были обнаружены и исправлены в составе Premiere Rush (CVE-2020-9656, CVE-2020-9657, CVE-2020-9655).

Наконец, в Adobe Audition, предназначенном для записи и редактирования аудио, были устранены две уязвимости out-of-bounds записи (CVE-2020-9658 и CVE-2020-9659), которые тоже допускали выполнение произвольного кода.

Adobe уверяет, что пока ей неизвестно о каких-либо атаках с использованием этих багов, и, хотя все уязвимости были оценены как критические, они получили приоритет «3», а это означает, что в компании не ожидают, что уязвимости вообще будут использоваться злоумышленниками.

1 комментарий

  1. Аватар

    0d8bc7

    17.06.2020 в 22:14

    Это, конечно, хорошо, что так много критических уязвимостей было закрыто, но плохо, что они вообще появились.
    «Adobe уверяет» — ну-ну, паранойикам это будет слушать особенно интересно (нет). А нельзя ли просто не лажать при разработке ПО? Ну конечно, все мы знаем ответ — нет, все делают ошибки, бла-бла-бла. Но для ПЛАТНЫХ и недешёвых программ… Не знаю, как-то в голове не укладывается 😕 Если бы какой-нибудь Вася Пупкин накатал программу «на коленке», ни на что не претендуя (и в особенности, на часть рынка), это было бы простительно.

Оставить мнение