Kritické bezpečnostné zraniteľnosti v produktoch Adobe

December 12, 2024

Spoločnosť Adobe vydala bezpečnostné aktualizácie svojich produktov Adobe Experience Manager, Acrobat, Reader, Media Encoder, Illustrator, After Effects, Animate, InDesign, PDFL Software Development Kit (SDK), Connect, Substance 3D Sampler, Photoshop, Substance 3D Modeler, Bridge, Premiere Pro, Substance 3D Painter a FrameMaker, ktoré opravujú 165 zraniteľností, z čoho 45 sú označené ako kritické. Kritické zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vykonanie škodlivého kódu, eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom. Ostatné zraniteľnosti umožňujú vykonanie škodlivého kódu, získanie neoprávneného prístupu k citlivým údajom, obídenie bezpečnostných prvkov a zneprístupnenie služby.

Zraniteľné systémy:

Adobe Experience Manager (AEM) vo verziách starších ako AEM Cloud Service Release 2024.11
Adobe Experience Manager (AEM) vo verziách starších ako 6.5.22
Acrobat DC vo verziách starších ako 24.005.20320
Acrobat Reader DC vo verziách starších ako 24.005.20320
Acrobat 2024 vo verziách starších ako 24.001.30225
Acrobat 2020 vo verziách starších ako 20.005.30748
Acrobat Reader 2020 vo verziách starších ako 20.005.30748
Adobe Media Encoder vo verziách starších ako 24.6.4
Adobe Media Encoder vo verziách starších ako 25.1
Illustrator 2025 vo verziách starších ako 29.1
Illustrator 2024 vo verziách starších ako 28.7.3
Adobe After Effects vo verziách starších ako 24.6.3
Adobe After Effects vo verziách starších ako 25.1
Adobe Animate  2023 vo verziách starších ako 23.0.9
Adobe Animate  2024 vo verziách starších ako 24.0.6
Adobe InDesign vo verziách starších ako ID20.0
Adobe InDesign vo verziách starších ako ID19.5.1
Adobe PDFL Software Development Kit (SDK) vo verziách starších ako 21.0.0.7
Adobe Connect vo verziách starších ako 12.7
Adobe Connect vo verziách starších ako 11.4.9
Adobe Substance 3D Sampler vo verziách starších ako 4.5.2
Photoshop 2025 vo verziách starších ako 26.1
Adobe Substance 3D Modeler vo verziách starších ako 1.15.0
Adobe Bridge vo verziách starších ako 14.1.4
Adobe Bridge vo verziách starších ako 15.0.1
Adobe Premiere Pro vo verziách starších ako 25.1
Adobe Premiere Pro vo verziách starších ako 24.6.4
Adobe Substance 3D Painter vo verziách starších ako 10.1.2
Adobe FrameMaker 2020 vo verziách starších ako Release Update 7 bez aktualizácie DLL
Adobe FrameMaker 2022 vo verziách starších ako Release Update 5 bez aktualizácie DLL

Opis zraniteľnosti:

Adobe Experience Manager:

CVE-2024-43711 (CVSS skóre 7,1)

Kritická zraniteľnosť spočíva v nedostatočnom overovaní vstupov a vzdialený útočník by ju mohol zneužiť na vzdialené vykonanie kódu.

Adobe Acrobat, Adobe Reader:

CVE-2024-49530 (CVSS skóre 7,8), CVE-2024-49535 (CVSS skóre 6,3)

Zraniteľnosti spočívajúce v použití odalokovaného miesta v pamäti (CVE-2024-49530) a nesprávnej reštrikcii XML External Entity referencií (CVE-2024-49535) možno zneužiť na vykonanie škodlivého kódu.

Adobe Media Encoder:

CVE-2024-49551, CVE-2024-49552, CVE-2024-49553 (CVSS skóre 7,8)

Zápis mimo povolených hodnôt (CVE-2024-49551, CVE-2024-49553) a pretečenie medzipamäte haldy (CVE-2024-49552) v rámci produktu Adobe Media Encoder umožňujú vykonanie škodlivého kódu.

Adobe Illustrator:

CVE-2024-49538, CVE-2024-49541 (CVSS skóre 7,8)

Uvedené zraniteľnosti spočívajú v zápise do pamäte mimo povodených hodnôt a umožňujú vykonanie škodlivého kódu.

Adobe After Effects:

CVE-2024-49537 (CVSS skóre 7,8)

Pretečenie vyrovnávacej pamäte zásobníka možno zneužiť na získanie neoprávneného prístupu k obsahu pamäte a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Adobe Animate:

CVE-2024-52982, CVE-2024-52983, CVE-2024-52984, CVE-2024-52985, CVE-2024-52986, CVE-2024-52987, CVE-2024-52988, CVE-2024-52989, CVE-2024-52990, CVE-2024-45155, CVE-2024-45156, CVE-2024-53953, CVE-2024-53954 (CVSS skóre 7,8)

Kritické zraniteľnosti umožňujúce vykonanie škodlivého kódu spočívajú v nesprávnom overovaní vstupov (CVE-2024-52982), pretečení celočíselnej premennej (CVE-2024-52983), podtečení celočíselnej premennej (CVE-2024-52984, CVE-2024-52985, CVE-2024-52986, CVE-2024-52987, CVE-2024-52989, CVE-2024-53954), zápise do pamäte mimo povolených hodnôt (CVE-2024-52988), podtečení zásobníka (CVE-2024-52990), prístupe k neinicializovanému pointeru (CVE-2024-45155), dereferencii nulového ukazovateľa (CVE-2024-45156) a použití odalokovaného miesta v pamäti (CVE-2024-53953).

Adobe InDesign:

CVE-2024-49543, CVE-2024-49545 (CVSS skóre 7,8)

Pretečenie vyrovnávacej pamäte zásobníka a pretečenie medzipamäte haldy v rámci Adobe InDesign možno zneužiť na vykonanie škodlivého kódu.

CVE-2024-49544 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt možno zneužiť na získanie neoprávneného prístupu k obsahu pamäte a úplné narušenie dôvernosti, integrity a dostupnosti systému.

Adobe PDFL Software Development Kit (SDK):

CVE-2024-49513 (CVSS skóre 7,8)

Kritickú zraniteľnosť v Adobe PDFL SDK možno zneužiť na vykonanie škodlivého kódu. Zraniteľnosť spočíva v zápise mimo povolených hodnôt pamäte.

Adobe Connect:

CVE-2024-54032, CVE-2024-54036 (CVSS skóre 9,3), CVE-2024-54034 (CVSS skóre 8,0) a CVE-2024-54037 (CVSS skóre 7,3)

Bližšie nešpecifikované kritické zraniteľnosti v Adobe Connect by vzdialený útočník mohol zneužiť na realizáciu útokov tzv. Reflected XSS (Cross Site Scripting).

CVE-2024-54035 (CVSS skóre 7,3)

Zraniteľnosť spočívajúcu v nesprávnej autorizácii by vzdialený neautentifikovaný útočník mohol zneužiť na eskaláciu privilégií. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe  Substance 3D Sampler:

CVE-2024-52994, CVE-2024-52995, CVE-2024-52996 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt (CVE-2024-52994) a pretečenie medzipamäte haldy (ostatné) možno zneužiť na vykonanie kódu.

Adobe Photoshop:

CVE-2024-52997 (CVSS skóre 7,8)

Zraniteľnosť, ktorá spočíva v použití odalokovaného miesta v pamäti, umožňuje vykonanie kódu.

Adobe Substance 3D Modeler:

CVE-2024-52999, CVE-2024-53000, CVE-2024-53001, CVE-2024-53002, CVE-2024-53003 (CVSS skóre 7,8)

Produkt Adobe Substance 3D Modeler obsahuje zraniteľnosti, ktoré možno zneužiť na vykonanie kódu. Zraniteľnosť s identifikátorom CVE-2024-52999 spočíva v pretečení medzipamäte haldy a ostatné zraniteľnosti v zápise do pamäte mimo povolených hodnôt.

Adobe Bridge:

CVE-2024-53955 (CVSS skóre 7,8)

Kritická zraniteľnosť s označením CVE-2024-53955 umožňuje zneužitie podtečenia celočíselnej premennej na vykonanie kódu.

Adobe Premiere Pro:

CVE-2024-53956 (CVSS skóre 7,8)

Produkt Adobe Premiere Pro obsahuje zraniteľnosť, ktorá umožňuje vykonanie kódu.

Adobe Substance 3D Painter:

CVE-2024-53957, CVE-2024-53958 (CVSS skóre 7,8)

Zápis do pamäte mimo povolených hodnôt (CVE-2024-53958) a pretečenie medzipamäte haldy (CVE-2024-53957) v Adobe Substance 3D Painter taktiež možno zneužiť na vykonanie kódu.

Adobe FrameMaker:

CVE-2024-53959 (CVSS skóre 7,8)

Kritickej zraniteľnosti bol pridelený identifikátor CVE-2024-53959 a možno ju zneužiť na vykonanie kódu.

Zneužitie vyššie uvedených zraniteľností (ak nie je uvedené inak) vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

Vykonanie škodlivého kódu
Eskalácia privilégií
Neoprávnený prístup k citlivým údajom
Obídenie bezpečnostných prvkov
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na verzie špecifikované v časti Zraniteľné systémy alebo na webových stránkach výrobcu uvedených v časti Zdroje.

Zdroje: