شرکت ادوبی دربارهی اکسپلویت آسیبپذیریهای بحرانی در شماری از محصولات ادوبی در ویندوز و سیستمهای macOS هشدار داده است.
شرکت ادوبی دربارهی بیش از 60 آسیبپذیری در محصولات مختلف این شرکت در ویندوز و مک اخطار داده است.
این آسیبپذیریها توسط مهاجمین اکسپلویت شده و به حملات اجرای کد ناخواسته، ارتقای دسترسی (privilege escalation) و DOS (denial-of-service) میانجامد.
این شرکت اعلام کرد با هیچ اکسپلویتی که توسط افراد و گروههای متفرقه رخ داده باشد، مواجه نشده است.
سه آسیبپذیری حیاتی در فتوشاپ شرکت ادوبی
سه آسیبپذیری حیاتی و مهم در نرمافزار فتوشاپ ویندوز و مک شناسایی شده است. به این ترتیب که مهاجم خود را کاربر (current user) جا میزند و از این نقصها برای اجرای کد ناخواسته (ACE) و memory leak استفاده میکند.
در جدول زیر جزئیات این سه آسیبپذیری را مشاهده میکنید:
| CVE NUMBER | CVSS VECTOR | CVSS BASE SCORE | SEVERITY | VULNERABILITY IMPACT | VULNERABILITY CATEGORY |
| CVE-2021-43018 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 7.8 | Critical | Arbitrary code execution | Out-of-bounds Write (CWE-787) |
| CVE-2021-43020 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | 5.5 | Important | Memory Leak | Access of Memory Location After End of Buffer (CWE-788) |
| CVE-2021-44184 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | 7.8 | Critical | Arbitrary code execution | Buffer Overflow (CWE-120) |
آسیبپذیری با شناسه (CVE-2021-43018) توسط مت پاول (Mat Powell) از بنیاد Trend Micro Zero Day و آسیبپذیریهای با شناسههای (CVE-2021-43020) و (CVE-2021-44184) نیز توسط Kushal Arvind Shah از Fortinet’s FortiGuard Labs گزارش شده است.
با قدرتمندترین آنتیویروسهای دنیا از اندپوینتهای خود محافظت کنید!
رفع آسیبپذیریهای اجرای کد ناخواسته
شرکت Adobe شماری از آسیبپذیریهای اجرای کد ناخواسته را در Adobe Experience Manager برطرف نموده است. این آسیبپذیریها در جدول زیر لیست شدهاند:
| CVE NUMBER | CVSS VECTOR | CVSS BASE SCORE | SEVERITY | VULNERABILITY IMPACT | VULNERABILITY CATEGORY |
| CVE-2021-43761 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | 8.0 | Critical | Arbitrary code execution | Cross-site Scripting (XSS)(CWE-79) |
| CVE-2021-40722 | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | 9.8 | Critical | Arbitrary code execution | Improper Restriction of XML External Entity Reference (‘XXE’) (CWE-611) |
| CVE-2021-43762 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | 6.5 | Important | Security feature bypass | Improper Input Validation (CWE-20) |
| CVE-2021-43764 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H | 8.0 | Critical | Arbitrary code execution | Cross-site Scripting (XSS)(CWE-79) |
| CVE-2021-43765 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | 8.1 | Critical | Arbitrary code execution | Cross-site Scripting (Stored XSS) (CWE-79) |
| CVE-2021-44176 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | 8.1 | Critical | Arbitrary code execution | Cross-site Scripting (Stored XSS) (CWE-79) |
| CVE-2021-44177 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | 8.1 | Critical | Arbitrary code execution | Cross-site Scripting (Stored XSS) (CWE-79) |
| CVE-2021-44178 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | 5.4 | Important | Arbitrary code execution | Cross-site Scripting (Reflected XSS) (CWE-79) |
خبر خوب این است که تیم Product Security Incident Response (PSIRT) شرکت ادوبی با هیچ حملهای از طرف افراد و گروههای متفرقه مواجه نشده است.
