باز هم ادوبی و بیش از ۶۰ آسیب‌پذیری جدید

آسیب‌پذیری های بحرانی در ادوبی

شرکت ادوبی درباره‌ی اکسپلویت آسیب‌پذیری‌های بحرانی در شماری از محصولات ادوبی در ویندوز و سیستم‌های macOS هشدار داده است.

شرکت ادوبی درباره‌ی بیش از 60 آسیب‌پذیری در محصولات مختلف این شرکت در ویندوز و مک اخطار داده است.
این آسیب‌پذیری‌ها توسط مهاجمین اکسپلویت شده و به حملات اجرای کد ناخواسته، ارتقای دسترسی (privilege escalation) و DOS (denial-of-service) می‌انجامد.
این شرکت اعلام کرد با هیچ اکسپلویتی که توسط افراد و گروه‌های متفرقه رخ داده‌ باشد، مواجه نشده است.

سه آسیب‌پذیری حیاتی در فتوشاپ شرکت ادوبی

سه آسیب‌پذیری حیاتی و مهم در نرم‌‌افزار فتوشاپ ویندوز و مک شناسایی شده است. به این ترتیب که مهاجم خود را کاربر (current user) جا می‌زند و از این نقص‌ها برای اجرای کد ناخواسته (ACE) و memory leak استفاده می‌کند.
در جدول زیر جزئیات این سه آسیب‌پذیری را مشاهده می‌کنید:

CVE NUMBERCVSS VECTORCVSS BASE SCORE SEVERITYVULNERABILITY IMPACT VULNERABILITY CATEGORY
CVE-2021-43018  CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H7.8CriticalArbitrary code execution Out-of-bounds Write (CWE-787)
CVE-2021-43020CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 5.5 ImportantMemory Leak Access of Memory Location After End of Buffer (CWE-788)
CVE-2021-44184CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 7.8CriticalArbitrary code execution Buffer Overflow (CWE-120)

آسیب‌پذیری با شناسه (CVE-2021-43018) توسط مت پاول (Mat Powell) از بنیاد Trend Micro Zero Day و آسیب‌پذیری‌های با شناسه‌های (CVE-2021-43020) و (CVE-2021-44184) نیز توسط Kushal Arvind Shah از Fortinet’s FortiGuard Labs گزارش شده است.

با قدرتمندترین آنتی‌ویروس‌های دنیا از اندپوینت‌های خود محافظت کنید! 

رفع آسیب‌پذیری‌های اجرای کد ناخواسته

شرکت Adobe شماری از آسیب‌پذیری‌های اجرای کد ناخواسته را در Adobe Experience Manager برطرف نموده است. این آسیب‌پذیری‌ها در جدول زیر لیست شده‌اند:

CVE NUMBERCVSS VECTORCVSS BASE SCORESEVERITYVULNERABILITY IMPACTVULNERABILITY CATEGORY
CVE-2021-43761CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 8.0CriticalArbitrary code execution Cross-site Scripting (XSS)(CWE-79)
CVE-2021-40722CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8CriticalArbitrary code execution Improper Restriction of XML External Entity Reference (‘XXE’) (CWE-611)
CVE-2021-43762CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 6.5ImportantSecurity feature bypass Improper Input Validation (CWE-20)
CVE-2021-43764CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 8.0CriticalArbitrary code execution Cross-site Scripting (XSS)(CWE-79)
CVE-2021-43765CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N 8.1CriticalArbitrary code execution Cross-site Scripting (Stored XSS) (CWE-79)
CVE-2021-44176CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N 8.1CriticalArbitrary code execution Cross-site Scripting (Stored XSS) (CWE-79)
CVE-2021-44177CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N 8.1CriticalArbitrary code execution Cross-site Scripting (Stored XSS) (CWE-79)
CVE-2021-44178CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N 5.4ImportantArbitrary code execution Cross-site Scripting (Reflected XSS) (CWE-79)

خبر خوب این است که تیم Product Security Incident Response (PSIRT) شرکت ادوبی با هیچ حمله‌ای از طرف افراد و گروه‌های متفرقه مواجه نشده است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *