Bezpečnostné zraniteľnosti v produktoch Adobe

September 12, 2024

Spoločnosť Adobe vydala bezpečnostné aktualizácie na svoje produkty Media Encoder, Audition, After Effects, Premiere Pro, Illustrator, Acrobat Reader, ColdFusion a Photoshop, ktoré opravujú 29 zraniteľností, z čoho 19 sú označené ako kritické. Najzávažnejšie zraniteľnosti by vzdialený neautentifikovaný útočník prostredníctvom podvrhnutia špeciálne vytvorených súborov mohol zneužiť na vzdialené vykonanie škodlivého kódu. Ostatné zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom, vykonanie neoprávnených zmien v systéme a zneprístupnenie služby.

Zraniteľné systémy:

Adobe Media Encoder vo verziách starších ako 24.6
Adobe Media Encoder vo verziách starších ako 23.6.9
Adobe Audition vo verziách starších ako 24.6
Adobe Audition vo verziách starších ako 23.6.9
Adobe After Effects vo verziách starších ako 24.6
Adobe After Effects vo verziách starších ako 23.6.9
Adobe Premiere Pro vo verziách starších ako 24.6
Adobe Premiere Pro vo verziách starších ako 23.6.9
Adobe Illustrator 2024 vo verziách starších ako 28.7.1
Adobe Illustrator 2024 vo verziách starších ako 27.9.6
Acrobat DC vo verziách starších ako 24.003.20112
Acrobat Reader DC vo verziách starších ako 24.003.20112
Acrobat 2024 vo verziách starších ako 24.001.30187
Acrobat 2020 vo verziách starších ako 20.005.30680
Acrobat Reader 2020 vo verziách starších ako 20.005.30680
ColdFusion 2023 vo verziách starších ako Update 10
ColdFusion 2021 vo verziách starších ako Update 16
Photoshop 2023 vo verziách starších ako 24.7.5
Photoshop 2024 vo verziách starších ako 25.12

Opis zraniteľnosti:

Adobe ColdFusion

CVE-2024-41874 (CVSS skóre 9,8)

Najzávažnejšia kritická zraniteľnosť spočíva v deserializácii nedôveryhodných dát a možno ju zneužiť na vykonanie škodlivého kódu. Zneužitie zraniteľnosti nevyžaduje interakciu zo strany používateľa.

Adobe Media Encoder

CVE-2024-39377 (CVSS skóre 7,8), CVE-2024-41871 (CVSS skóre 5,5)

Zraniteľnosti umožňujúce čítanie a zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Audition

CVE-2024-39378 (CVSS skóre 7,8)

CVE-2024-39378 možno zneužiť na zápis mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe After Effects

CVE-2024-39380, CVE-2024-39381, CVE-2024-41859 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-39384 (CVSS skóre 7,8)

Zraniteľnosť spočívajúcu v zápise mimo povolených hodnôt možno zneužiť na vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-41857, CVE-2024-34121, CVE-2024-41856, CVE-2024-45114, CVE-2024-43758 (CVSS skóre 7,8)

Zraniteľnosti spočívajú v nesprávnom overovaní vstupov, zápise mimo povolené hodnoty, použití odalokovaného miesta v pamäti a v pretečení a podtečení celočíselnej premennej a umožňujú vykonanie škodlivého kódu.

Adobe Premiere Pro

CVE-2024-45112 (CVSS skóre 8,6), CVE-2024-41869 (CVSS skóre 7,8)

CVE-2024-45112 spočíva v nesprávnom určení dátových typov pri prístupe k zdrojom zariadenia a CVE-2024-41869 v použití odalokovaného miesta v pamäti. Obe zraniteľnosti umožňujú vykonanie kódu.

Adobe Photoshop

CVE-2024-43756, CVE-2024-43760, CVE-2024-45108, CVE-2024-45109 (CVSS skóre 7,8)

Zraniteľnosti spočívajúce v zápise mimo povolených hodnôt a pretečení medzipamäte haldy umožňujú vykonanie škodlivého kódu.

Zneužitie uvedených zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí stiahnuť a otvoriť špeciálne vytvorené súbory.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov.

Zdroje: