Adobe Gulirkan Patch Tambal 100 Lebih Celah

Adobe telah menggulirkan Patch banyak kerentanan kritis dalam Flash Player dan produk Acrobat sebagai bagian dari pembaruan yang dijadwalkan secara rutin bulan juli lebih dari 100 celah yang ditambalnya.

Secara keseluruhan, perusahaan mengeluarkan 112 perbaikan untuk celah keamanan dalam produknya mulai dari Flash Player (dua bug), Acrobat dan Reader (104 bug), dan Experience Manager, (tiga bug), ke Adobe Connect (tiga bug). Sementara produk Acrobat mengandung sebagian besar vulnerabilities ini, Flash Player juga memiliki bug eksekusi kode arbitrer penting (CVE-2018-5007).

Kedua Flash Player bug diatasi oleh Adobe dan diikat ke berbagai versi player - termasuk bug eksekusi kode arbitrer kritis (CVE-2018-5007) dan pengungkapan informasi penting di out-of-bounds read bug bug (CVE-2018-5008) . Dampaknya adalah versi 30.0.0.113 dan sebelumnya untuk Adobe Flash Player Desktop Runtime di Windows, MacOS, dan Linux; Adobe Flash Player untuk Google Chrome untuk Windows, MacOS, Chrome OS, dan Linux; dan Adobe Flash Player untuk Microsoft Edge dan Internet Explorer 11 untuk Windows 10 dan 8.1.

Pengguna diminta untuk memperbarui ke versi 30.0.0.134 menggunakan berbagai metode instalasi, termasuk Flash Player Download Center, kata Adobe.

Secara keseluruhan, 104 kerentanan ditambal dalam produk Adobe Acrobat dan Reader PDF, termasuk 53 bug kritis dan 51 kerentanan dinilai penting. Yang terkena dampak adalah Acrobat DC dan Acrobat Reader DC versi 2018.011.20040 dan versi sebelumnya; Acrobat 2017 dan Acrobat Reader DC 2017 2017.011.30080 dan versi sebelumnya; dan Acrobat DC dan Acrobat Reader DC versi 2015.006.30418 dan versi sebelumnya. Semua versi yang terpengaruh tersedia untuk Windows dan macOS, kata Adobe.

"Adobe merilis sejumlah patch yang mempengaruhi semua versi Adobe Acrobat, Continuous, Classic 2017 dan Classic 2015 pada Windows dan Mac," kata Allan Liska, analis intelijen ancaman di Recorded Future. “Ada sejumlah kerentanan berbeda yang memungkinkan eksekusi kode jarak jauh dan satu kerentanan yang memungkinkan eskalasi hak istimewa, kerentanan ini memungkinkan untuk menanamkan JavaScript jahat di dalam file Adobe Acrobat, ketika file dibuka, JavaScript mengeksekusi perintah atau mengunduh loader, ”katanya. "Jika seorang penyerang mengkombinasikan eksekusi kode jarak jauh dan eskalasi privilege maka perintah dapat dijalankan sebagai administrator, memberikan penyerang kontrol penuh atas mesin korban."

Bug kritis termasuk bug eksekusi kode arbitrer seperti kerentanan ganda gratis (CVE-2018-12782), 14 tumpukan bug overflow, 13 bug yang digunakan setelah bebas, 13 kerentanan tulis di luar batas, dan tiga jenis bug bingung.

Bocoran keamanan penting eskalasi bug (CVE-2018-12802) juga ditujukan untuk produk Acrobat. Adobe juga merilis patch untuk tiga kerentanan dalam perangkat lunak presentasi Adobe Connect-nya, untuk versi 9.7.5 dan sebelumnya, dinilai penting. Pembaruan menyelesaikan otentikasi memotong kerentanan (CVE-2018-4994) "yang dapat mengakibatkan pengungkapan informasi sensitif jika berhasil dieksploitasi," kata Adobe.

Pembaruan juga membahas kerentanan manajemen sesi yang penting (CVE-2018-12804) karena validasi yang tidak memadai dari token sesi pertemuan Connect. Juga “add-in installer Connect sebelum 9,7 secara tidak aman memuat file DLL (CVE-2018-12805), yang dapat disalahgunakan untuk meningkatkan privilese lokal,” kata Adobe.

Adobe juga menambal tiga vuln yang dinilai penting dalam produk CMS enterprise Experience Manager-nya, berdampak pada versi 6.0 hingga 6.4. Ketiganya adalah bug Pengungkapan Informasi Sensitif.

Source

Share this post