<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    在七月更新中,Adobe 發布關鍵的代碼執行漏洞

    一顆小胡椒2020-07-15 15:46:03

    Adobe在七月更新中披露了關鍵的代碼執行錯誤

    這家軟件巨頭發布了針對四個關鍵漏洞和五個不同平臺的補丁。

    Adobe計劃于2020年7月發布安全更新,覆蓋五個不同產品領域的漏洞:創意云桌面;媒體編碼器;下載管理器;Genuine 服務和ColdFusion。

    其中四個bug被評為嚴重的,其他的被評為重要的。大多數重要的缺陷都涉及特權升級,而關鍵的缺陷為更危險的攻擊打開了大門。

    “Adobe下載管理器和媒體編碼器的更新解決了可能導致任意代碼執行的關鍵漏洞(CVE-2020-9688、9646和9650),”Automox的產品營銷經理Justin Knapp說。第四個關鍵的漏洞(CVE-2020-9682)影響創造性云桌面,如果被利用,可能允許攻擊者創建或修改文件。

    創造性云桌面

    Adobe發布了針對其創造性的Windows云桌面應用程序的四個不同缺陷的補丁,其中包括一個允許任意文件系統寫入的嚴重缺陷。

    創意云是一套用于創建和處理視頻、設計、攝影和網絡藝術的應用和服務。Adobe在周二的每月安全更新中指出,受影響的版本包括Creative Cloud桌面應用5.1和更早的版本。

    關鍵的漏洞是一個符號鏈接(symlink)漏洞(CVE-2020-9682),它允許成功利用該漏洞的攻擊者在他們無法正常訪問的位置創建或修改文件。符號鏈接是指向其他文件的快捷方式。

    “雖然這是一個關鍵的弱點,Adobe排名第二,這就意味著這些系統能存在一個基于歷史的風險增加,然后在這個漏洞的當前不存在任何已知的攻擊,”Jimmy Graham說。

    這些補丁還解決了三個重要級別的安全缺陷,所有缺陷都可能導致當前用戶上下文中的權限升級。被跟蹤為CVE-2020-9669的bug是由于缺乏漏洞緩解措施而導致的;CVE-2020-9671由于文件權限不安全導致;CVE-2020-9670是另一個不那么嚴重的符號鏈接漏洞。

    媒體編碼器

    Adobe還發布了Adobe更新媒體編碼器。Media Encoder是Adobe視頻編輯套件的一部分,負責將視頻文件轉換為適當的格式,以確保它們能在不同類型的設備上良好運行。

    兩個關鍵界外編寫bug (cve - 2020 - 9650和cve - 2020 - 9646),可能導致任意代碼執行;一個重要的非綁定讀取(CVE-2020-9649),它允許在當前用戶的上下文中公開信息。

    “任意代碼利用特權的范圍有限,但當結合特權升級漏洞時,可以讓攻擊者迅速升級進程的特權,并在目標系統上執行代碼讓攻擊者完全控制設備,“Knapp說。

    下載管理器

    安全補丁是關鍵漏洞的補丁,這個關鍵漏洞可能導致任意代碼在Adobe下載管理器窗口。bug (CVE-2020-9688)影響平臺的2.0.0.518版本。

    這個問題允許使用命令注入,這可能會打開任意代碼執行的大門。

    安全研究員Dhiraj Mishra (@RandomDhiraj)報告了這個問題。

    Genuine服務

    與此同時,針對Windows和macOS的Adobe正版軟件服務(Adobe Genuine Service)有三個重要漏洞。該服務定期驗證已安裝的Adobe軟件,以根除不正確、無效的許可證和盜版軟件。

    這些都可能導致當前用戶上下文中的權限升級。它們包括兩個不安全的庫加載錯誤(CVE-2020-9667和CVE-2020-9681);一個是符號鏈接錯誤處理的結果(CVE-2020-9668)。

    根據Adobe的更新顯示,早些時候它們影響真正的服務版本6.6。

    Adobe將這次發現歸功于CQURE的Adrian Denkiewicz (CVE-2020-9667)和Topsec Alpha團隊的Li (CVE-2020-9668, CVE-2020-9681)。

    Adobe ColdFusion

    最后,Adobe還發布了ColdFusion 2016版(更新15及更早版本)和2018版(更新9及更早版本)的多個重要漏洞補丁。ColdFusion是廠商用于構建和部署web和移動應用程序的流行平臺。

    兩個cve覆蓋了允許劫持DLL搜索順序的缺陷,導致特權升級(CVE-2020-9672和CVE-2020-9673)。安全D中心研究小組的Nuttakorn Tungpoonsup和Ammarit Thongthua以及獨立網絡安全研究員Sittikorn Sangrattanapitak報告了這些漏洞。

    與Adobe通常每月發布的安全補丁相比,7月份的補丁更新比較輕,但這可能是因為該公司在6月中旬發布了針對18個關鍵漏洞的帶外更新。這些影響了大量的關鍵產品,包括Adobe After Effects, Illustrator, Premiere Pro, Premiere Rush和Audition。如果利用成功,這些漏洞將允許攻擊者執行任意代碼。

    Ivanti的安全產品管理主管Chris Goettl在接受Threatpost采訪時表示:“Adobe本月發布的公告并不多,更引人注目的目標都不在其中。”Flash player也有一個版本,但它與安全無關。adobeacrobat和Reader在5月份進行了更新,所以我們可能會在8月份的補丁周期中看到一些關注。”

    至于7月的更新,管理員應該優先盡快應用補丁。Knapp說。“組織平均107天補丁一個新的漏洞,很可能現在有許多組織與任意代碼和特權擴大漏洞出現在企業設備,可以創建一個完美風暴的攻擊漏洞,”

    adobe關鍵
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    在七月更新中,Adobe 發布關鍵的代碼執行漏洞
    2020-07-15 15:46:03
    Adobe計劃于2020年7月發布安全更新,覆蓋五個不同產品領域的漏洞:創意云桌面;媒體編碼器;下載管理器;Genuine 服務和ColdFusion。其中四個bug被評為嚴重的,其他的被評為重要的。創造性云桌面 Adobe發布了針對其創造性的Windows云桌面應用程序的四個不同缺陷的補丁,其中包括一個允許任意文件系統寫入的嚴重缺陷。Adobe在周二的每月安全更新中指出,受影響的版本包括Creative Cloud桌面應用和更早的版本。媒體編碼器 Adobe還發布了Adobe更新媒體編碼器。
    Magento 存在兩個嚴重漏洞導致任意代碼執行或信息泄露
    2020-10-16 11:13:25
    Adobe還針對各種重要的不當授權漏洞發布了補丁程序,這些漏洞在應用程序未正確檢查用戶是否有權訪問功能時發生。根據Adobe的說法,對于上述所有漏洞,攻擊者將需要具有管理權限,但不需要預先身份驗證即可利用該漏洞。確實,Magento在過去的一年中遇到了許多安全漏洞。7月,Adobe修復了兩個關鍵漏洞和兩個重要級別的漏洞,這些漏洞可能導致代碼執行和簽名驗證繞過。
    Adobe 修復產品組合中的 16 個關鍵代碼執行錯誤
    2020-10-21 13:36:46
    Adobe已在10個不同的軟件包中發布了18個帶外安全補丁,其中包括針對遍布其產品套件的關鍵漏洞的修復程序。Adobe Illustrator遭受的打擊最大。這里有16個嚴重的漏洞,所有這些漏洞都允許在當前用戶的上下文中任意執行代碼。它們會影響Adobe Illustrator,Adobe Animate,Adobe After Effects,Adobe Photoshop,Adobe Premiere Pro,Adobe Media Encoder,Adobe InDesign和Adobe Creative Cloud Desktop應用程序。Adobe還修補了Dreamweaver和Marketo Sales Insight Salesforce軟件包中兩個重要的問題。
    Adobe 修補了 Reader、Acrobat 和 Illustrator 中的關鍵漏洞
    2021-07-14 13:58:08
    Adobe 解決了多個產品中的多個嚴重漏洞,包括 Adobe Acrobat 和 Reader 應用程序。Adobe 解決了在 Windows 和 macOS 系統上運行的多個產品中的多個關鍵遠程代碼執行和權限提升漏洞。Adobe 修復的缺陷影響 Acrobat 和 Reader、Illustrator、Framemaker、Dimension 和 Bridge 產品。閱讀零日計劃 發布的帖子。Adobe 產品安全事件響應團隊 確認,它沒有發現任何針對通過最新安全更新解決的任何安全漏洞的公開漏洞利用。“Adobe 本月修復的錯誤在發布時均未列為公開已知或受到主動攻擊。”
    Adobe 修補 Bridge、Photoshop 中的嚴重安全漏洞
    2021-04-14 17:22:30
    Adobe已發布了針對Adobe Bridge中的四個關鍵漏洞的安全補丁,以及針對Adobe Digital Editions,Adobe Photoshop和RoboHelp中的錯誤的其他關鍵和重要評級的更新。總體而言,Adobe在計劃的4月更新中修復了其產品中的10個安全漏洞,其中有7個被列為關鍵漏洞。Adobe發布的CVE中沒有一個被公認為是眾所周知的,也沒有在發布之時受到主動攻擊。該公司還修補了Adobe Digital Editions中的最后一個嚴重漏洞CVE-2021-21100,該漏洞是特權升級問題,允許任意文件系統寫入。
    Adobe 修復 Adobe InDesign,Framemaker 和 Experience Manager 嚴重漏洞
    2020-09-09 10:40:50
    Adobe已發布修復程序,以解決其流行的Experience Manager內容管理解決方案中用于構建網站,移動應用程序和表單的五個關鍵漏洞。跨站點腳本(XSS)漏洞可能使攻擊者能夠在目標瀏覽器中執行JavaScript。 包括Adobe Exp...
    Adobe 發布安全補丁,修復多款應用安全漏洞
    2020-06-17 11:31:44
    Adobe已為其六個最受歡迎的應用發布了安全補丁,對于Illustrator,此次修復程序清除了五個CVE列出的關鍵安全漏洞,這些漏洞是緩沖區溢出和內存損壞問題的混合,惡意制作的文檔可以利用這些問題來實現在macOS和Windows系統上的任意代碼執行。所有漏洞都是由Fortinet Fortiguard實驗室的研究人員發現的,其中有四個是由韓永輝提供的,第五個是由Kushal Arvind發現并報道的。Adobe建議用戶和管理員應盡快測試并應用更新,到目前為止,這些漏洞還未被利用。
    Adobe為其4款流行軟件發布了重要的安全補丁
    2022-10-06 20:20:00
    本月更新中解決的漏洞影響Adobe Flash Player、Creative Cloud桌面應用程序、Adobe Experience Manager、Adobe Acrobat和Reader應用程序。
    攻擊者利用 Adobe 嚴重漏洞針對 Windows 用戶
    2021-02-11 12:33:27
    Adobe Reader中的一個嚴重漏洞已被“有限攻擊”所利用。根據Adobe周二的通報,該漏洞已在“有限攻擊”中被利用,該漏洞是其定期計劃的二月份更新的一部分。有問題的漏洞是基于嚴重性堆的緩沖區溢出漏洞。當用于存儲動態變量(堆)的進程內存區域不堪重負時,就會發生這種類型的緩沖區溢出錯誤。如果發生緩沖區溢出,通常會導致受影響的程序行為不正確。特別是有了這個缺陷,就可以利用它來在受影響的系統上執行任意代碼。
    Adobe 發布帶外修補程序解決 Media Encoder 漏洞
    2020-09-16 17:28:09
    Adobe已發布帶外修補程序,以解決在Media Encoder中發現的三個漏洞。 Adobe Media Encoder是用于以不同格式對音頻和視頻進行編碼的軟件,是該公司通常每月發布的安全更新的唯一主題。 Adobe在周二表示,三個漏洞–CVE...
    一顆小胡椒
    暫無描述
      亚洲 欧美 自拍 唯美 另类