Adobe исправила 18 критических багов в своих продуктах

На этой неделе разработчики Adobe выпустили внеочередной набор патчей и исправили 18 критических уязвимостей в своих продуктах, включая After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition.

­­В After Effects было устранено пять критических уязвимостей (CVE-2020-9661, CVE-2020-9660, CVE-2020-9662, CVE-2020-9637, CVE-2020-9638), связанных с out-of-bounds записью, чтением и переполнением хипа. Проблемы позволяли выполнить произвольный код в контексте текущего  пользователя.

Еще пять критических RCE-уязвимостей (CVE-2020-9642, CVE-2020-9575, CVE-2020-9641, CVE-2020-9640, CVE-2020-9639), вызванных проблемами с буфером и повреждением информации в памяти, были исправлены в коде Adobe Illustrator.

В Premiere Pro для Windows и macOS были исправлены три ошибки (CVE-2020-9653, CVE-2020-9654, CVE-2020-9652), связанные с out-of-bounds записью и чтением. Эти проблемы тоже могли привести к выполнению произвольного кода.  Уязвимости того же типа, тоже в количестве трех штук, были обнаружены и исправлены в составе Premiere Rush (CVE-2020-9656, CVE-2020-9657, CVE-2020-9655).

Наконец, в Adobe Audition, предназначенном для записи и редактирования аудио, были устранены две уязвимости out-of-bounds записи (CVE-2020-9658 и CVE-2020-9659), которые тоже допускали выполнение произвольного кода.

Adobe уверяет, что пока ей неизвестно о каких-либо атаках с использованием этих багов, и, хотя все уязвимости были оценены как критические, они получили приоритет «3», а это означает, что в компании не ожидают, что уязвимости вообще будут использоваться злоумышленниками.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)

  • Это, конечно, хорошо, что так много критических уязвимостей было закрыто, но плохо, что они вообще появились.
    "Adobe уверяет" - ну-ну, паранойикам это будет слушать особенно интересно (нет). А нельзя ли просто не лажать при разработке ПО? Ну конечно, все мы знаем ответ - нет, все делают ошибки, бла-бла-бла. Но для ПЛАТНЫХ и недешёвых программ... Не знаю, как-то в голове не укладывается 😕 Если бы какой-нибудь Вася Пупкин накатал программу "на коленке", ни на что не претендуя (и в особенности, на часть рынка), это было бы простительно.

Похожие материалы