Adobe 已经在其Adobe Prelude、Adobe Experience Manager和Adobe Lightroom应用程序中发现了高危的漏洞。如果这些被利用,这些漏洞可能导致任意代码执行的后果。
总的来说,Adobe公司在其预先安排的12月的安全更新中,发布了一个高危级别的漏洞和三个关键的高危的CVE相关的补丁。在11月发布补丁之后,该公司修复了Acrobat和Reader系列应用软件服务的Windows和macOS版本中的四个相关CVE的高危漏洞;所有的这些漏洞都有可能被利用,并且在受漏洞影响的产品上执行任意代码。
根据Adobe周二的安全更新,"Adobe没有意识到这些更新会解决的问题"。
本月Adobe发布的补丁包括Adobe Experience Manager (AEM)中的一个重要的跨站脚本(XSS)漏洞,该公司主要提供构建网站、移动应用和表单的内容管理解决方案等服务。如果漏洞被利用,该漏洞(CVE-2020-24445)可能允许恶意攻击者在受害者的浏览器上执行任意的JavaScript代码。
AEM CS、AEM 6.5.6.0及早期版本、AEM 6.4.8.2及早期版本和AEM 6.3.3.8及早期版本受此次漏洞影响;AEM用户可更新至以下特定的AEM版本。此次更新的优先级为2",根据Adobe公司的说法,此次更新解决了 "历史上风险较高 "的产品的漏洞,但目前还没有找到已知的漏洞。
AEM中也存在一个属于blind ssrf漏洞的高危漏洞(CVE-2020-24444)。Blind SSRF漏洞被利用时,应用程序会被控制 ,向特定的URL发出后端的HTTP请求,但后端请求的响应并没有在应用程序的前端响应中显示。Adobe称,这个问题可能会导致敏感数据的泄露。
Adobe还解决了在Windows和macOS版Lightroom Classic中的一个高危漏洞,Lightroom Classic是Adobe公司的桌面应用程序,可以实现照片编辑。如果利用该漏洞,可能会造成用户在当前环境中进行任意代码执行。
该漏洞来自于Windows 10.0及更早版本的Lightroom Classic中的一个不受控制的搜索路径。不受控制的搜索路径是容易出问题的,当应用程序使用固定的搜索路径来查找资源时,就会出现这个问题--路径的一个或多个位置被恶意用户控制。在利用Lightroom Classic的这个漏洞(CVE-2020-24447)情况下,这个问题可能会使任意代码执行。
Adobe敦促Windows和MacOS平台的Lightroom Classic用户更新到10.1版本。Adobe称,该更新是 "优先级3 "的更新,这意味着它存在于那些 "不会被攻击者注意 "的产品中。
"Adobe建议管理员根据需要进行安装更新",据报道称。
最后一个高危漏洞在Adobe Prelude中进行了修补,Adobe Prelude是Adobe的日志工具,主要用于标记带有元数据的媒体,用于搜索、管理后期制作的工作流程和影片素材生命周期。该漏洞是另一个不受控制的搜索路径(CVE-2020-24440)的漏洞,影响Adobe Prelude 9.0.1及更早的Windows版本。如果被利用,该漏洞可能会造成任意代码执行。
我们敦促用户在Adobe规定的 "优先级3 "的更新等级中更新到Windows和macOS的Adobe Prelude 9.0.2版本。
Adobe公司在过去几个月里修复了各种安全漏洞。 10月,在向Windows、macOS、Linux和ChromeOS操作系统上的用户发出其Flash Player应用程序存在高危漏洞的警告后,Adobe在10个不同的软件包中发布了18个外带的安全补丁,其中包括对覆盖所有产品套件的高危漏洞的修复。Adobe Illustrator受到的影响最大。
本文翻译自:https://threatpost.com/adobe-windows-macos-critical-severity-flaws/162007/如若转载,请注明原文地址: