Bezpečnostné zraniteľnosti v produktoch Adobe

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Adobe Bridge, Audition, After Effects, Substance 3D Painter, Illustrator, InDesign, Photoshop a Commerce, ktoré opravujú 48 zraniteľností, z čoho 28 sú označené ako kritické. Najzávažnejšie zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu. Ostatné zraniteľnosti umožňujú získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov a zneprístupnenie služby.

Zraniteľné systémy:

  • Adobe Bridge vo verziách starších ako 15.0
  • Adobe Bridge vo verziách starších ako 14.1.3
  • Adobe Audition vo verziách starších ako 25.0
  • Adobe Audition vo verziách starších ako 24.6.3
  • Adobe After Effects vo verziách starších ako 25.0
  • Adobe After Effects vo verziách starších ako 24.6.3
  • Adobe Substance 3D Painter vo verziách starších ako 10.1.1
  • Adobe Illustrator 2024 vo verziách starších ako 29.0.0
  • Adobe Illustrator 2024 vo verziách starších ako 28.7.2
  • Adobe InDesign vo verziách starších ako ID20.0
  • Adobe InDesign vo verziách starších ako ID18.5.4
  • Adobe InDesign vo verziách starších ako ID18.5.3
  • Adobe Commerce a Magento Open Source vo verziách starších ako 3.2.6 (prevádzkované ako software-as-a-service prostredníctvom Adobe Commerce Services)
  • Adobe Photoshop 2023 vo verziách starších ako 24.7.4
  • Adobe Photoshop 2024 vo verziách starších ako 25.12

Opis zraniteľnosti:

Adobe Substance 3D Painter:

CVE-2024-49525, CVE-2024-49519, CVE-2024-47426, CVE-2024-47427, CVE-2024-47428, CVE-2024-47429, CVE-2024-47430, CVE-2024-49515, CVE-2024-49516, CVE-2024-47431, CVE-2024-49517, CVE-2024-47432, CVE-2024-49518, CVE-2024-49520, CVE-2024-47433, CVE-2024-47434 (CVSS skóre 7,8)

Bezpečnostné zraniteľnosti v produkte Substance 3D Painter spočívajúce v nedostatočnom overovaní vyhľadávacích ciest (CVE-2024-49515), dvojitom uvoľnení pamäte (CVE-2024-47426), pretečení medzipamäte haldy (CVE-2024-49525, CVE-2024-47431, CVE-2024-49517) a zápise mimo povolených hodnôt (ostatné) možno zneužiť na vykonanie škodlivého kódu.

Adobe After Effects:

CVE-2024-47441, CVE-2024-47442, CVE-2024-47443 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Illustrator:

CVE-2024-45114, CVE-2024-47450, CVE-2024-47451, CVE-2024-47452 (CVSS skóre 7,8)

Zraniteľnosť spočívajúcu v zápise mimo povolených hodnôt a pretečení medzipamäte haldy možno zneužiť na vykonanie škodlivého kódu.

Adobe InDesign:

CVE-2024-49507, CVE-2024-49508, CVE-2024-49509 (CVSS skóre 7,8)

Uvedené zraniteľnosti spočívajú v pretečení medzipamäte haldy a umožňujú vykonanie škodlivého kódu.

Adobe Photoshop

CVE-2024-49514 (CVSS skóre 7,8)

Podtečenie celočíselnej premennej možno zneužiť na vykonanie škodlivého kódu.

Zneužitie vyššie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Adobe Commerce a Magento Open Source:

CVE-2024-49521 (CVSS skóre 7,7)

Bližšie nešpecifikovanú zraniteľnosť by vzdialený neautentifikovaný útočník zaslaním špeciálne vytvorených požiadaviek zo zraniteľných serverov na interné systémy mohol zneužiť na realizáciu SSRF (Server Side Request Forgery) útokov a obídenie bezpečnostných prvkov.

Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Možné škody:

  • Vykonanie škodlivého kódu
  • Neoprávnený prístup k citlivým údajom
  • Obídenie bezpečnostných prvkov
  • Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Zdroje: