وصله‌ی آسیب‌پذیری‌های بحرانی محصولات Adobe

چهارشنبه ۲۹ فروردین ۱۳۹۷
شرکت Adobe به روزرسانی امنیتی جدیدی را منتشر ساخته است که ۱۹ آسیب‌پذیری بحرانی در محصولات خود را برطرف می‌سازد.
مرکز آپا شریف
SUT-APA-LOGO

Adobe به‌روزرسانی امنیتی جدیدی را منتشر ساخته است که 19 آسیب‌پذیری‌‌‌ بحرانی در محصولاتی همچون Adobe Flash Player، Adobe Experience Manager، Adobe InDesign CC، Digital Editions، ColdFusion و افزونه‌ی Adobe PhoneGap Push را برطرف می‌سازد.
Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی 29.0.0.113 Adobe Flash Player و پیش از آن را در سیستم‌‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد.

در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-2018-4932) و دو خطای نوشتن خارج از نوبت (CVE-2018-4935 و CVE-2018-4937). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد شوند. علاوه‌براین، Adobe دو اشکال خواندن خارج از نوبت (CVE-2018-4933 و CVE-2018-4934) و همچنین یک اشکال سرریز پشته (CVE-2018-4936) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
سه آسیب‌پذیری در Adobe Experience Manager نیز رفع شده‌اند. این به‌روزرسانی نسخه‌های 6.0 تا 6.3 را تحت‌تأثیر قرار می‌دهد و یک آسیب‌‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-2018-4929) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-2018-4930, CVE-2018-4931) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-2018-4928) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص .inx ایجاد شده است و آسیب‌‌پذیری مسیر جستجوی نامعتبر (CVE-2018-4927) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد می‌تواند منجر به افزایش مجوز‌های محلی شود.
در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-2018-4925 و CVE-2018-4926 وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های 4.5.7 و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
مجموعه‌ای از آسیب‌پذیری‌های مربوط به ColdFusion نیز برطرف شده‌اند. این اشکالات در نسخه‌ی 2016 ColdFusion به‌روزرسانی 5 و پیش‌ از آن، همچنین ColdFusion 11، به‌روزرسانی 13 و نسخه‌های قبل از آن وجود دارند. دو آسیب‌پذیری بحرانی CVE-2018-4939 و CVE-2018-4942 اشکالاتی هستند که اجازه‌ی بی‌نظمی در اطلاعات غیرقابل‌اعتماد و پردازش موجودیت خارجی XML ناامن را می‌‌دهد. اگر این اشکالات امنیتی مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای ازراه‌دور کد و افشای اطلاعات شوند.
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-2018-4938)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-2018-4940) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-2018-4941) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است. این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است. این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی 2.1.0 برنامه‌‌های PhoneGap پلاگین Push وجود دارد را حل می‌کند.
Adobe به کاربران توصیه می‌کند که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.