۱۵ اکتبر ۲۰۱۹ در حقیقت سومین سهشنبه ماه اکتبر است و Adobe در این تاریخ سرانجام بهروزرسانیهای امنیتی خارج از موعد و از پیش اعلامشدهی خود را منتشر کرد تا درمجموع ۸۲ آسیبپذیری امنیتی در انواع مختلف محصولات خود را برطرف کند.
محصولاتی که وصلههای امنیتی را دریافت کردهاند شامل موارد زیر هستند[۱-۴]:
- Adobe Acrobat and Reader
- Adobe Experience Manager
- Adobe Experience Manager Forms
- Adobe Download Manager
از میان ۸۲ آسیبپذیری امنیتی، ۴۵ آسیبپذیری در دستهبندی حیاتی قرار دارند و همه آنها روی Adobe Acrobat و Reader تأثیر میگذارند و در صورت بهرهبرداری موفقیتآمیز، میتوانند منجر به اجرای کد دلخواه در زمینه کاربر فعلی شوند.
اکثر آسیبپذیریهای دارای درجه بحرانی (بهعنوانمثال ۲۶ مورد) در Adobe Acrobat و Reader به دلیل use-after-free به وجود آمدند، ۶ مورد به دلیل نوشتن out-of-bounds ایجاد شدند، ۴ مورد از نوع اشتباهات confusion هستند، ۴ مورد به دلیل untrusted pointer dereference به وجود آمدند، ۳ مورد نقصهای سرریز پشته هستند، یک مورد buffer overrun و یک مورد هم مسئله race condition است.
Adobe Acrobat و Reader برای سیستمعاملهای ویندوز و MacOS Apple نیز وصلههای مربوط به ۲۳ آسیبپذیری در دستهبندی مهم را دریافت کردند که میتوانند منجر به حملات افشای اطلاعاتی شوند که به دلیل خواندن out-of-bounds و مشکلات cross-site scripting به وجود آمدند.
Adobe Experience Manager، یک راهحل جامع مدیریت محتوا برای ساختن وبسایتها، برنامههای تلفن همراه و فرمها، برای رفع ۱۲ آسیبپذیری در نظر گرفته شده است که ۸ مورد از این آسیبپذیریها در دستهبندی مهم قرار دارند و بقیه ازنظر شدت متوسط هستند.
دو آسیبپذیری باقیمانده که وصله شدند شامل: یک مورد مسئله افشای اطلاعات در فرمهای Adobe Experience Manager برای همه سیستمعاملها و یکی نیز نقص مهم افزایش امتیاز است که رویAdobe Download Manager برای مایکروسافت ویندوز تأثیر میگذارد.
همچنین باکمال تعجب Adobe Flash Player این بار هیچ بهروزرسانی امنیتی را دریافت نکرده است. لازم به ذکر است که Adobe در پایان سال ۲۰۲۰ ارائه بهروزرسانیهای Flash Player را متوقف میکند[۲].
تمام بهروزرسانیهای Acrobat و Reader و Experience Manager رتبه ۲ را کسب کردهاند، این بدان معناست که قبلاً نقصهای مشابه در سطح اینترنت مورد بهرهبرداری قرار گرفته بودند، اما در حال حاضر، این شرکت هیچ مدرکی مبنی بر بهرهبرداری از این آسیبپذیریها در سطح اینترنت پیدا نکرده است.
از طرف دیگر، بهروزرسانیهای Adobe Experience Manager Forms و Adobe Download Manager رتبه ۳ را دریافت کردهاند، این بدان معناست که با توجه به یادداشتهای Adobe در مورد این بهروزرسانیها، این آسیبپذیریها احتمالاً در حملات مورد بهرهبرداری قرار نگرفتهاند.
اگرچه هیچیک از آسیبپذیریهای امنیتی برطرف شده در این بسته از بهروزرسانیهای Adobe بهصورت عمومی افشا نشده یا در حال استفاده در سطح اینترنت نیستند، اما ما به شما توصیه میکنیم جدیدترین نسخههای نرمافزارهای تحت تأثیر را بارگیری کنید و در سریعترین زمان ممکن وصلههای موردنظر را اعمال کنید.
اگر سیستم شما به این بهروزرسانیهای جدید بهصورت خودکار دسترسی ندارد، میبایست با رفتن به بخش Help → Check for Updates در نرمافزار Adobe برای سیستمعاملهای ویندوز، macOS ، لینوکس و Chrome OS این بهروزرسانیها را بهصورت دستی نصب کنید.
منابع
[۱] https://helpx.adobe.com/security/products/acrobat/apsb19-49.html
[۲] https://helpx.adobe.com/security/products/experience-manager/apsb19-48.html
[۳] https://helpx.adobe.com/security/products/aem-forms/apsb19-50.html
[۴] https://helpx.adobe.com/security/products/adm/apsb19-51.html
[۵] https://apa.aut.ac.ir/?p=2840
[۶] https://thehackernews.com/2019/10/adobe-software-patches.html
ثبت ديدگاه