11月12日Adobe發布資安公告,針對旗下Adobe Bridge、Adobe Commerce、After Effects、Audition、InDesign、Illustrator、Photoshop、Substance 3D Painter等多項產品發布安全性更新,總共修補48個漏洞,值得留意的是,這次該公司公告的漏洞當中,有超過半數被列為重大層級,再者,除了Audition、Bridge,其餘6項應用程式皆存在重大漏洞。
從重大漏洞的數量來看,Adobe一共為Substance 3D Painter修補16個漏洞最多,這些漏洞都有可能讓攻擊者執行任意程式碼,CVSS風險評分皆為7.8。而針對這些漏洞的類型,大部分為越界寫入(Out-of-bounds Write,OBW)漏洞,總共有11個,其次有3個為記憶體緩衝區溢位漏洞,另有2個分別為記憶體重複釋放(Double Free)漏洞、不受信任的搜尋路徑漏洞。
其次,該公司為Illustrator修補了4項漏洞,這些漏洞一旦遭到利用,攻擊者有機會藉此執行程式碼。從漏洞類型來看,3個為越界寫入弱點,另一個為記憶體緩衝區溢位漏洞,CVSS風險皆為7.8。
這次他們也為After Effects、InDesign,分別修補3項越界寫入弱點,以及3項記憶體緩衝區溢位漏洞,CVSS風險皆為7.8。
在這些重大漏洞的種類而言,出現在Photoshop及Adobe Commerce較為特別,該公司這次為Photoshop修補了整數下溢漏洞;而對於Adobe Commerce的部分,則是緩解了伺服器請求偽造(SSRF)漏洞,CVSS風險分別為7.8、7.7。



2024-11-13
