Adobe 修補 Bridge、Photoshop 中的嚴重安全漏洞

Adobe已發布了針對Adobe Bridge中的四個關鍵漏洞的安全補丁，以及針對Adobe Digital Editions，Adobe Photoshop和RoboHelp中的漏洞的其他嚴重和重要評級的更新。

總體而言，Adobe在計劃的4月更新中修復了其產品中的10個安全漏洞，其中有7個被列為關鍵漏洞。

Adobe發布的CVE中沒有一個被公認為是眾所周知的，也沒有在發布之時受到主動攻擊。

“本月，Adobe針對Photoshop，Digital Editions，Bridge和Robohelp進行了四次更新，所有這些更新均被評為優先級3，” Ivanti產品管理和安全高級總監Chris Goettl說。“ Adobe進行優先級排序的原因是因為此更新解決了產品的漏洞，該產品歷來不是攻擊者的目標。Adobe建議管理員自行決定安裝更新。”

Goettl指出，這是供應商嚴重性等級的一個方面，許多人沒有考慮到這一點–如果應用程序不太可能成為威脅參與者的目標，則Adobe會降低漏洞的嚴重性，而不管其漏洞的嚴重性如何。是。因此，應在每個組織的基礎上確定修補程序的優先級。

他說：“盡管歷史證據能準確反映Adobe的評估，但并不能消除所有風險。” “ Photoshop多年來擁有多達9個被利用的CVE，最近的是2015年的CVE。在這四個更新中，Photoshop是風險最高的。”

Adobe Bridge安全漏洞

Adobe Bridge是一個創意資產管理器，可以幫助用戶以簡化的方式預覽，組織，編輯和發布多個創意資產。它包含四個嚴重的錯誤以及兩個“重要”漏洞：

• CVE-2021-21093和CVE-2021-21092是導致任意代碼執行的關鍵內存損壞問題。
• CVE-2021-21094和CVE-2021-21095是嚴重的越界寫入錯誤，也導致任意代碼執行。
• CVE-2021-21091是一個重要的越界閱讀問題，可能導致信息泄露；
• CVE-2021-21096源于不正確的授權，并允許特權升級。

“任意代碼執行或ACE漏洞為攻擊者提供了一個平臺，可以在目標系統上快速執行其他代碼或應用程序，從而為橫向移動或快速滲透系統數據打開了大門，” Automox產品營銷經理Jay Goodman說道，通過電子郵件說。

4月份的其他Adobe補丁程序

Adobe還解決了Photoshop中的兩個關鍵漏洞，這是其流行的照片編輯軟件（CVE-2021-28548和CVE-2021-28549）。兩者都是允許任意代碼執行的緩沖區溢出漏洞。

該公司還修補了Adobe Digital Editions中的最后一個嚴重漏洞CVE-2021-21100，該漏洞是特權升級問題，允許任意文件系統寫入。Digital Editions是Adobe的電子書閱讀器軟件，用于獲取，管理和閱讀電子書，數字報紙和其他數字出版物。

Goodman說：“此漏洞使攻擊者可以迫使目標應用程序以特權用戶的身份覆蓋系統上的任何文件。” “這可以使攻擊者通過覆蓋關鍵的系統文件使系統脫機。”

最后，Adobe在RoboHelp中修補了一個重要等級的漏洞，該漏洞是用于撰寫技術文章和操作方法的平臺。該漏洞為CVE-2021-21070，是一個不受控制的搜索路徑元素，它可能允許特權升級。

用戶可以通過轉到幫助>檢查更新來啟用漏洞的自動更新。

Goodman指出：“這些漏洞應在72小時內修補，以確保攻擊者沒有時間用武器對付您的組織。”