وصله‌ی ۸۰ آسیب‌پذیری در ۹ محصول ادوبی

شرکت ادوبی روز سه‌شنبه اعلام کرد که در مجموع ۸۰ آسیب‌پذیری را در برنامه‌های فلش‌پلیر، فتوشاپ، کانِکت، آکروبات و ریدر، DNG Converter، این‌دیزاین، Digital Editions، Shockwave Player، و Experience Manager که از محصولات این شرکت هستند، وصله کرده است.

بیشترین تعداد آسیب‌پذیری‌های وصله‌شده که ۵۹ مورد است، به نرم‌افزار آکروبات و ریدر برای ویندوز و مک مربوط می‌شود. این فهرست شامل اشکالات حیاتی مانند دسترسی به اشاره‌گرهای بدون مقدار اولیه‌، استفاده پس از آزادسازی، دسترسی به بافر، خواندن بیش از حد بافر، سرریز بافر، خواندن یا نوشتن خارج از محدوده، اعتبارسنجی نامناسب شاخص آرایه‌، دور زدن امنیت و آسیب‌پذیری‌های دسترسی به محتوای یک اشاره‌گر به صورت غیرقابل اعتماد است که می‌توانند به منظور اجرای کد از راه دور مورد بهره‌برداری قرار بگیرند.

در مجموع ۱۶ شرکت و افراد دیگر حفره‌های امنیتی نرم‌افزار آکروبات و ریدر را گزارش کرده بودند. بیش از نیمی از این آسیب‌پذیر‌ی‌ها توسط کارمندان یک شرکت چینی به نام Tencent کشف شده‌اند.

 

 

به‌‌روزرسانی‌های برنامه‌ی فلش‌پلیر برای سامانه‌های عامل ویندوز، مک، لینوکس و کروم، پنج آسیب‌پذیریِ حیاتی خواندن خارج از محدوده و استفاده پس از آزادسازی را که می‌توانند برای اجرای کد از راه دور مورد بهره‌برداری قرار بگیرند را وصله کرده است.

همچنین آسیب‌پذیری‌های حیاتی اجرای کد برای نسخه‌های ویندوز و مک برنامه‌ی فتوشاپ CC، و نسخه‌ی ویندوز برنامه‌ی Shockwave Player وصله شده‌اند.

شرکت ادوبی در برنامه‌ی Connect خود چهار آسیب‌پذیری جعل درخواست سمت کارگزار (SSRF) و اسکریپت بین وب‌گاهی (XSS) را وصله کرده و یک ویژگی به این برنامه اضافه کرده است که به منظور کمک به مدیران جهت محافظت از کاربران در برابر حملات سرقت کلیک طراحی شده است.

این شرکت شش آسیب‌پذیری در برنامه‌ی Digital Editions برای ویندوز، مک، iOS، و اندروید را وصله کرده است که می‌توانند منجربه افشاء آدرس‌های حافظه و سایر اطلاعات شوند.

شرکت ادوبی همچنین به کاربران توصیه کرد برنامه‌ی Experience Manager را به منظور رفع آسیب‌پذیری‌های مهم اسکریپت بین وب‌گاهی و افشاء اطلاعات به‌روزرسانی کنند. این شرکت یک مشکل خرابی حافظه در برنامه‌ی DNG Converter برای ویندوز، و همچنین یک آسیب‌پذیری مشابه را در برنامه‌ی InDesign برای ویندوز و مک وصله کرد.

شرکت ادوبی گفت: «هیچ مدرکی وجود ندارد که حتی یکی از این آسیب‌پذیری‌ها مورد بهره‌برداری قرار گرفته باشند.» 

 

 

ماه گذشته (ماه اکتبر سال ۲۰۱۷)، ادوبی اعلام کرده بود که هیچ آسیب‌پذیری امنیتی برای وصله کردن در هیچ یک از نرم‌افزارهایش وجود ندارد. با این حال، ادوبی فقط پس از گذشت چند روز از مشخص شدن یک آسیب‌پذیری روز-صفرم در فلش‌پلیر که توسط یک عامل تهدید از خاورمیانه مورد بهره‌برداری قرار گرفته بود، مجبور شده بود که یک به‌روزرسانی خارج از محدوده منتشر کند.

همچنین مایکروسافت نیز  به‌روزرسانی‌های امنیتی خود به نام Patch Tuesday updates را منتشر کرده است. این شرکت بیش از ۵۰ آسیب‌پذیری از جمله ۲۰ اشکال حیاتی در مرورگر را در این به‌روزرسانی‌ها وصله کرده است.

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید