شرکت Adobe وصله‌های امنیتی حیاتی جولای 2020 خود را برای چندین نرم‌افزار منتشر کرد. - مرکز پژوهشی آپا

Adobe

Adobe در تاریخ ۱۴ جولای ۲۰۲۰ به‌روزرسانی‌های نرم‌افزاری خود را منتشر کرد تا در کل ۱۳ آسیب‌پذیری امنیتی جدید را وصله کند که روی ۵ برنامه‌ی کاربردی این شرکت قرار داشتند.

از میان این ۱۳ آسیب‌پذیری، چهار مورد در دسته‌بندی حیاتی قرار گرفتند و نه مورد ازنظر شدت در دسته‌بندی مهم قرار دارند.

محصولاتی که وصله‌های امنیتی دریافت کرده‌اند شامل موارد زیر است:

Adobe Creative Cloud Desktop Application
Adobe Media Encoder
Adobe Genuine Service
Adobe ColdFusion
Adobe Download Manager

نسخه‌های ۵٫۱ و بالاتر برنامه‌ی Adobe Creative Cloud Desktop برای سیستم‌عامل ویندوز حاوی چهار آسیب‌پذیری است که یکی از آن‌ها یک مسئله‌ی symlink حیاتی (CVE-2020-9682) است که منجر به حملات نوشتن فایل سیستم دلخواه می‌شود.

بر اساس این گزارش[۱]، سه نقص مهم دیگر در نرم‌افزار Adobe موارد افزایش سطح دسترسی هستند.

Adobe Media Encoder شامل دو آسیب‌پذیری اجرای کد دلخواه حیاتی (CVE-2020-9650 و CVE-2020-9646) و یک آسیب‌پذیری مهم افشای اطلاعات است که روی کاربران ویندوز و همچنین macOS که از نسخه ۱۴٫۲ یا قبل از آن استفاده می‌کنند، تأثیر می‌گذارد[۲].

Adobe Genuine Service، ابزاری در مجموعه‌ی Adobe که کاربران را در برابر اجرای نرم‌افزارهای غیر اصل یا کرک شده محافظت می‌کند، تحت تأثیر سه آسیب‌پذیری مهم افزایش سطح دسترسی قرار دارد. این نقص‌ها در نسخه‌ی ۶٫۶ این نرم‌افزار برای سیستم‌عامل‌های ویندوز و macOS وجود دارند[۳].

ColdFusion که یک بستر توسعه وب برنامه Adobe است نیز همچنین از دو آسیب‌پذیری مهم افزایش سطح دسترسی رنج می‌برد که با بهره‌گیری از حمله ربودن DLL search-order قابل بهره‌برداری هستند[۴].

سرانجام، Adobe Download Manager فقط در برابر یک نقص (CVE-2020-9688) آسیب‌پذیر است که ازنظر شدت حیاتی است و می‌تواند منجر به اجرای کد دلخواه درزمینه‌ی کاربر فعلی از طریق حمله‌ی تزریق فرمان شود.

این نقص روی Adobe Download Manager نسخه ۲٫۰٫۰٫۵۱۸ برای ویندوز تأثیر می‌گذارد و با انتشار نسخه ۲٫۰٫۰٫۵۲۹ نرم‌افزار برطرف شده است.

هیچ‌یک از آسیب‌پذیری‌های امنیتی برطرف شده در این دسته از به‌روزرسانی‌های Adobe به‌طور علنی افشا نشده‌اند یا در سطح اینترنت مورد بهره‌برداری قرار نگرفته‌اند.

بااین‌حال، هنوز هم توصیه می‌شود که کاربران Adobe آخرین نسخه‌های نرم‌افزار آسیب‌دیده را بارگیری و نصب کنند تا از دستگاه‌ها و مشاغل خود در برابر حملات سایبری احتمالی محافظت کنند.

این همچنین به این دلیل است که بسیاری از وصله‌های منتشرشده دربسته‌ی موردنظر، دارای رتبه‌ی اولویت دو هستند، بدین معنی که نقص‌های مشابه قبلاً در سطح اینترنت مورد بهره‌برداری قرارگرفته‌اند و در حال حاضر، این شرکت هیچ مدرکی مبنی بر بهره‌برداری از این آسیب‌پذیری‌ها پیدا نکرده است.

منابع

[۱] https://helpx.adobe.com/security/products/creative-cloud/apsb20-33.html

[۲] https://helpx.adobe.com/security/products/media-encoder/apsb20-36.html

[۳] https://helpx.adobe.com/security/products/integrity_service/apsb20-42.html

[۴] https://helpx.adobe.com/security/products/coldfusion/apsb20-43.html

[۵] https://thehackernews.com/2020/07/adobe-security-patch-july.html