Bezpečnostné zraniteľnosti v produktoch Adobe
Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Media Encoder, Audition, After Effects, Premiere Pro, Illustrator, Acrobat Reader, ColdFusion a Photoshop, ktoré opravujú 29 zraniteľností, z čoho 19 sú označené ako kritické. Najzávažnejšie zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Ostatné zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vykonanie neoprávnených zmien v systéme a zneprístupnenie služby.
Zraniteľné systémy:
- Adobe Media Encoder vo verziách starších ako 24.6
- Adobe Media Encoder vo verziách starších ako 23.6.9
- Adobe Audition vo verziách starších ako 24.6
- Adobe Audition vo verziách starších ako 23.6.9
- Adobe After Effects vo verziách starších ako 24.6
- Adobe After Effects vo verziách starších ako 23.6.9
- Adobe Premiere Pro vo verziách starších ako 24.6
- Adobe Premiere Pro vo verziách starších ako 23.6.9
- Adobe Illustrator 2024 vo verziách starších ako 28.7.1
- Adobe Illustrator 2024 vo verziách starších ako 27.9.6
- Acrobat DC vo verziách starších ako 24.003.20112
- Acrobat Reader DC vo verziách starších ako 24.003.20112
- Acrobat 2024 vo verziách starších ako 24.001.30187
- Acrobat 2020 vo verziách starších ako 20.005.30680
- Acrobat Reader 2020 vo verziách starších ako 20.005.30680
- ColdFusion 2023 vo verziách starších ako Update 10
- ColdFusion 2021 vo verziách starších ako Update 16
- Photoshop 2023 vo verziách starších ako 24.7.5
- Photoshop 2024 vo verziách starších ako 25.12
Opis zraniteľnosti:
Adobe ColdFusion
CVE-2024-41874 (CVSS skóre 9,8)
Najzávažnejšia kritická zraniteľnosť spočíva v deserializácii nedôveryhodných dát a možno ju zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.
Adobe Media Encoder
CVE-2024-39377 (CVSS skóre 7,8), CVE-2024-41871 (CVSS skóre 5,5)
Zraniteľnosti umožňujúce čítanie a zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.
Adobe Audition
CVE-2024-39378 (CVSS skóre 7,8)
CVE-2024-39378 možno zneužiť na zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.
Adobe After Effects
CVE-2024-39380, CVE-2024-39381, CVE-2024-41859 (CVSS skóre 7,8)
Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.
Adobe Premiere Pro
CVE-2024-39384 (CVSS skóre 7,8)
Zraniteľnosť spočívajúcu v zápise mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.
Adobe Premiere Pro
CVE-2024-41857, CVE-2024-34121, CVE-2024-41856, CVE-2024-45114, CVE-2024-43758 (CVSS skóre 7,8)
Zraniteľnosti spočívajú v nesprávnom overovaní vstupov, zápise mimo povolené hodnoty, použití odalokovaného miesta v pamäti a v pretečení a podtečení celočíselnej premennej a umožňujú vykonanie škodlivého kódu.
Adobe Premiere Pro
CVE-2024-45112 (CVSS skóre 8,6), CVE-2024-41869 (CVSS skóre 7,8)
CVE-2024-45112 spočíva v nesprávnom určení dátových typov pri prístupe k zdrojom zariadenia a CVE-2024-41869 v použití odalokovaného miesta v pamäti. Obe zraniteľnosti umožňujú vykonanie kódu.
Adobe Photoshop
CVE-2024-43756, CVE-2024-43760, CVE-2024-45108, CVE-2024-45109 (CVSS skóre 7,8)
Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.
Zneužitie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.
Možné škody:
- Vzdialené vykonanie kódu
- Neoprávnený prístup k citlivým údajom
- Neoprávnená zmena v systéme
- Zneprístupnenie služby
Odporúčania:
Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.
Zdroje:
- https://helpx.adobe.com/security/products/media-encoder/apsb24-53.html
- https://helpx.adobe.com/security/products/audition/apsb24-54.html
- https://helpx.adobe.com/security/products/after_effects/apsb24-55.html
- https://helpx.adobe.com/security/products/premiere_pro/apsb24-58.html
- https://helpx.adobe.com/security/products/illustrator/apsb24-66.html
- https://helpx.adobe.com/security/products/acrobat/apsb24-70.html
- https://helpx.adobe.com/security/products/coldfusion/apsb24-71.html
- https://helpx.adobe.com/security/products/photoshop/apsb24-72.html