Adobe的12月安全发行版包含针对软件中的17个关键漏洞的修复程序,这些漏洞可被利用来触发任意代码执行。
作为软件供应商标准安全计划的一部分,已在Photoshop,Reader,Brackets和ColdFusion中修复了漏洞。
在该公司流行的图像编辑软件Adobe Photoshop CC中,Adobe解决了CVE-2019-8253和CVE-2019-8254这些严重的内存损坏错误,这些错误可能导致执行任意代码。Windows和macOS计算机上的版本20.0.7和更早版本以及21.0.1和更早版本受到影响。
最大数量的安全更新围绕着Adobe Acrobat和Reader(2015、2017和DC)进行。
总共有14个影响软件的漏洞被视为关键问题。CVE-2019-16450和CVE-2019-16454是越界写入缺陷; CVE-2019-16445,CVE-2019-16448,CVE-2019-16452,CVE-2019-16459和CVE-2019-16464是免费使用的错误; 而CVE-2019-16446,CVE-2019-16455,CVE-2019-16460和CVE-2019-16463是不受信任的指针取消引用问题。
此外,解决了影响软件的堆溢出问题CVE-2019-16451,缓冲区错误CVE-2019-16462和安全绕过漏洞CVE-2019-16453。
另请参阅: Adobe消除Illustrator CC,Media Encoder中的关键漏洞
如果攻击者利用了这些漏洞中的任何一个,它们可能会触发任意代码执行。
此外,Adobe消除了六个导致数据泄漏的越界读取问题,这些问题被认为很重要(CVE-2019-16449,CVE-2019-16456,CVE-2019-16457,CVE-2019-16458,CVE-2019-16461 ,CVE-2019-16465)和严重性相同的另一个错误CVE-2019-16444,被描述为默认的文件夹特权升级问题。
用于网站设计和开发的源代码编辑软件Adobe Brackets也已收到针对一个关键漏洞的修复程序。影响Windows,Linux和macOS系统的Brackets 1.14版及更早版本容易受到CVE-2019-8255的影响,CVE-2019-8255是一个命令注入漏洞,可以利用该漏洞执行任意代码。
该软件供应商还发布了 2018年ColdFusion 的更新,解决了导致权限提升的不安全继承权限错误。跟踪为CVE-2019-8256,此安全漏洞被认为很重要。
Adobe感谢来自Google Project Zero,安全D中心研究团队,FortiGuard Labs,Palo Alto Networks,百度安全实验室和Cisco Talos的研究人员报告了漏洞,并感谢其他人。
在星期二的补丁程序中,Microsoft发布了安全修复程序,解决了36个漏洞,其中包括一个在野外积极利用的零日漏洞。卡巴斯基(Kaspersky)发现的零日特权升级漏洞是由于Win32k组件无法正确处理内存对象而导致的。
卡巴斯基表示,该漏洞已在“ Operation WizardOpium”攻击中得到利用,尽管没有发现特定的威胁因素。
11月,Adobe修复了Adobe Media Encoder,Illustrator CC,Adobe Bridge CC和Adobe Animate CC这四个产品中的漏洞,尽管该安全更新相对较小,但最严重的安全漏洞可能导致代码执行攻击。 。
Adobe还在同月警告客户,对Adobe Acrobat和Reader 2015的支持将于2020年4月7日终止。这家软件巨头通常在5年的通用性之后就停止了支持。
*编译整理:Domino
*参考来源:ZDNET