A Adobe corrigiu várias vulnerabilidades críticas em uma variedade de softwares, incluindo Magento, Acrobat, Reader e Photoshop. A empresa publicou avisos de segurança para cada produto incluído na rodada de patch padrão deste mês. O primeiro aviso se refere ao Adobe Acrobat e Reader 2020, Acrobat e Reader DC, e às versões 2017 do Acrobat e Reaphotosder em máquinas Windows e macOS.
A Adobe resolveu 23 vulnerabilidades nesses pacotes de software, 17 das quais são consideradas críticas e o restante, importante.
Os problemas de segurança incluem:
- estouros de buffer e inteiros;
- controles de acesso inadequados e falhas de uso após liberação que podem se tornar armas para execução arbitrária de código;
- escalonamento de privilégios;
- falhas de negação de serviço;
- e vazamentos de informações.
Magento, uma plataforma de comércio eletrônico de código aberto, também recebeu uma série de correções de segurança. Especificamente, Magento Commerce e Magento Open Source em todas as plataformas estão sujeitos a um total de 18 bugs, variando em gravidade de crítico a moderado.
As piores vulnerabilidades servem invasores executarem código, implantarem JavaScript em um navegador e acessar recursos restritos. Então, isso inclui bugs Insecure Direct Object Reference (IDOR), desvios de lista de upload de arquivos, desvios de segurança e controle de acesso e injeções de SQL
No total, relataram cinco vulnerabilidades críticas no Adobe Photoshop no Windows e no macOS. Os bugs são problemas de leitura e gravação fora dos limites e estouro de buffer que podem ser explorados para a execução de código malicioso.
Notícias Relacionadas
Adobe corrige bugs críticos no Magento, Acrobat, Reader
Duas vulnerabilidades críticas, que receberam classificação como CVE-2021-21053 e CVE-2021-21054, agora apresentam correção nas versões para Windows e macOS do Adobe Illustrator. Se explorados, os bugs de gravação fora dos limites podem acionar a execução arbitrária de código.
O Adobe Animate também foi objeto de uma falha crítica de gravação fora dos limites, CVE-2021-21052, que também poderia ser transformada em arma para implantar código arbitrário.
No entanto, há uma única correção também para o Adobe Dreamweaver, software de design de sites desenvolvido pela gigante da tecnologia. Assim, o CVE-2021-21055 é um problema de elemento de caminho de pesquisa não controlado que pode levar a vazamentos de informações.
A Adobe agradeceu a vários pesquisadores independentes, Decathlon, Trend Micro Zero Day Initiative, FortiGuard Labs e participantes do Concurso Internacional de Segurança Cibernética Tianfu Cup 2020 por relatarem os problemas de segurança.
Em janeiro, a primeira atualização de segurança programada da Adobe do ano resolveu bugs em sete produtos, incluindo Photoshop, Illustrator, Bridge e Campaign Classic. Vulnerabilidades de estouro de buffer de heap e falhas de gravação fora dos limites estavam entre as corrigidas.
ZDNet
