De surpresa, fora do cronograma oficial, a Adobe lança patch para corrigir duas vulnerabilidades críticas de execução de código. Os problemas podem expor os sistemas do usuário a ataques de execução de código. Na quarta-feira, o fornecedor do software lançou dois avisos de segurança separados, descrevendo os problemas, alertando que cada bug é considerado crítico, a maior pontuação de gravidade disponível. No entanto, atualmente não há evidências de que as vulnerabilidades estejam sendo exploradas na natureza.

primeira vulnerabilidade, CVE-2020-3764, afeta o Adobe Media Encoder versões 14.0 e anteriores na plataforma Microsoft Windows. A falha de segurança é uma vulnerabilidade de gravação fora dos limites que pode ser explorada para execução arbitrária de código.

A Adobe resolveu uma segunda vulnerabilidade, CVE-2020-3765, que afeta o Adobe After Effects versões 16.1.2 e anterior em máquinas Windows. Esse bug também é uma gravação fora dos limites que pode levar à execução arbitrária de código. No entanto, nesse caso, os ataques só podem ocorrer no contexto do usuário atual.

Adobe lança patch para corrigir vulnerabilidades críticas de execução de código

Adobe lança patch para corrigir vulnerabilidades críticas de execução de código

Os usuários do Adobe Media Encoder e After Effects devem atualizar o software imediatamente. A gigante da tecnologia agradeceu ao pesquisador Francis Provencher, ao lado de Matt Powell, da Trend Micro Zero Day Initiative, por relatar as vulnerabilidades.

A Adobe não costuma lançar patches extras, a menos que vulnerabilidades sérias e críticas sejam achadas ou tenham o risco de serem exploradas.

Dois lançamentos mensais de segurança padrão ocorreram até agora este ano. Nos patches de janeiro, foram resolvidos nove bugs que incluíam problemas críticos de corrupção de memória no Adobe Illustrator CC 2019 que poderiam ser explorados para execução arbitrária de código, além de problemas confidenciais de divulgação de informações no Adobe Experience Manager.

O lançamento do patch deste mês foi mais robusto, resolvendo 35 vulnerabilidades críticas, incluindo problemas de estouro de pilha, gravação fora dos limites, falhas de uso após liberação e erros de escalonamento de privilégios no software. Se explorados, os erros podem levar à execução do código, gravações arbitrárias no sistema de arquivos, vazamentos de memória e muito mais.

Fonte: ZDNet

Sair da versão mobile