Компания Adobe выпустила внеплановые обновления безопасности, устраняющие 18 критических уязвимостей. Эксплуатация проблем позволяет злоумышленникам выполнить произвольный код на системах с уязвимыми версиями Adobe After Effects, Illustrator, Premiere Pro, Premiere Rush и Audition под управлением Windows или macOS.
Уязвимости были обнаружены исследователями из FortiGuard Labs компании Fortinet и специалистами Trend Micro Zero Day Initiative. Проблемы, обнаруженные в пяти продуктах Adobe, связаны с ошибками чтения и записи, переполнением буфера в куче и повреждением памяти. Николас Девиллерс (Nicolas Devillers) из Lexfo также сообщил о другой уязвимости в Adobe Campaign Classic, которая может привести к раскрытию информации.
В программном обеспечении Adobe After Effects были исправлены критические уязвимости чтения и записи за пределами поля, и переполнения буфера в куче ( CVE-2020-9661, CVE-2020-9660, CVE-2020-9662, CVE-2020-9637 и CVE-2020-9638 ), эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. Проблемы были исправлены в версии Adobe After Effects 17.1.1.
В векторном графическом редакторе Adobe Illustrator 2020 для Windows исправлены проблемы буфера и повреждения памяти ( CVE-2020-9575, CVE-2020-9641, CVE-2020-9640, CVE-2020-9639 и CVE-2020-9642 ), которые могут быть использованы для выполнения произвольного кода в контексте текущего пользователя. Уязвимости были исправлены в версии Adobe Illustrator 2020 24.2.
В профессиональной программе нелинейного видеомонтажа Adobe Premiere Pro для Windows и macOS исправлены уязвимости чтения и записи за пределами поля ( CVE-2020-9653, CVE-2020-9654 и CVE-2020-9652 ), эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. Проблемы были исправлены в версии Adobe Premiere Pro 14.3.
В видеоредакторе Adobe Premiere Rush для Windows и macOS были исправлены проблемы чтения и записи за пределами поля ( CVE-2020-9656, CVE-2020-9657 и CVE-2020-9655 ), эксплуатация которых позволяет выполнить произвольный код в контексте текущего пользователя. Проблемы были исправлены в версии Adobe Premiere Rush 1.5.16
В аудиоредакторе Adobe Audition Adobe для Windows и macOS были исправлены проблемы записи за пределами поля ( CVE-2020-9658 и CVE-2020-9659 ), которые могут быть использованы для выполнения произвольного кода после успешной эксплуатации. Проблемы были исправлены в версии Adobe Audition 13.0.7.
В продукте Adobe Campaign Classic была исправлена уязвимость чтения за пределами поля ( CVE-2020-9666 ), эксплуатация которой позволяет раскрыть информацию. Проблема была исправлена в версии Adobe Campaign Classic 20.1.
Источник: securitylab.ru
