امنیت

فناوری اطلاعات

April 24, 2018
17:42 سه شنبه، 4ام اردیبهشتماه 1397
کد خبر: 89969

انتشار وصله‌ی آسیب‌پذیری‌های بحرانی محصولات Adobe

Adobe به‌روزرسانی امنیتی جدیدی را منتشر کرده که ۱۹ آسیب‌پذیری‌ بحرانی در محصولاتش را برطرف می‌کند و به کاربران توصیه کرده که محصولات این نرم‌افزار را در اسرع وقت به آخرین نسخه به‌روزرسانی کنند تا از سوءاستفاده‌های بالقوه‌ی این اشکالات در امان بمانند.
 
Adobe Flash که معمولاً شامل آسیب‌پذیری‌های امنیتی این شرکت است، وصله‌هایی دریافت کرده است که آسیب‌پذیری‌های بحرانی نسخه‌ی ۲۹.۰.۰.۱۱۳ Adobe Flash Player و پیش از آن را در سیستم‌های ویندوز، مکینتاش، لینوکس و سیستم‌عامل کروم برطرف می‌سازد.
 
در کل سه آسیب‌پذیری این محصول بحرانی هستند. یک اشکال آزادسازی پس از استفاده (use-after-free) (CVE-۲۰۱۸-۴۹۳۲) و دو خطای نوشتن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۵ و CVE-۲۰۱۸-۴۹۳۷). همه‌ی این آسیب‌پذیری‌ها درصورتی‌که مورد سوءاستفاده قرار گیرند می‌توانند منجر به اجرای از راه‌دور کد شوند. علاوه‌بر این، Adobe دو اشکال خواندن خارج از نوبت (CVE-۲۰۱۸-۴۹۳۳ و CVE-۲۰۱۸-۴۹۳۴) و همچنین یک اشکال سرریز پشته (CVE-۲۰۱۸-۴۹۳۶) را نیز وصله کرده است. این آسیب‌پذیری‌ها می‌توانند منجر به افشای اطلاعات شوند.
 
سه آسیب‌پذیری در Adobe Experience Manager نیز حل شده‌اند. این به‌روزرسانی نسخه‌های ۶.۰ تا ۶.۳ را تحت‌تأثیر قرار می‌دهد و یک آسیب‌پذیری تزریق کد از طریق وبگاه ذخیره‌شده (stored Cross-Site scripting) (CVE-۲۰۱۸-۴۹۲۹) و دو آسیب‌پذیری تزریق کد از طریق وبگاه (CVE-۲۰۱۸-۴۹۳۰, CVE-۲۰۱۸-۴۹۳۱) را برطرف می‌سازد. تمامی این آسیب‌پذیری‌های می‌توانند منجر به نشت اطلاعات شوند.
 
Adobe Indesign نیز در این ماه به‌روزرسانی دریافت کرده است. یک آسیب‌پذیری بحرانی خرابی حافظه (CVE-۲۰۱۸-۴۹۲۸) که درنتیجه‌ی تجزیه‌ی نامناسب یک فایل ساختگی خاص. inx ایجاد شده است و آسیب‌پذیری مسیر جستجوی نامعتبر (CVE-۲۰۱۸-۴۹۲۷) در نصب InDesign در این به‌روزرسانی وصله شده‌اند. اگر نقص خرابی حافظه مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه و اگر آسیب‌پذیری مسیر جستجوی نامعتبر مورد سوءاستفاده قرار گیرد و منجر به افزایش مجوزهای محلی شود.
 
همچنین در Adobe Digital Edition نیز دو آسیب‌پذیری CVE-۲۰۱۸-۴۹۲۵ و CVE-۲۰۱۸-۴۹۲۶ وصله شده‌اند. دو اشکال خواندن خارج از نوبت و سرریز پشته که نسخه‌های ۴.۵.۷ و پایین‌تر را تحت‌تأثیر قرار می‌دهند می‌توانند منجر به افشای اطلاعات شوند.
 
Adobe یک کتابخانه‌ی ناامن دارای آسیب‌پذیری (CVE-۲۰۱۸-۴۹۳۸)، آسیب‌پذیری اسکریپت‌نویسی از طریق وبگاه که می‌تواند منجر به تزریق کد شود (CVE-۲۰۱۸-۴۹۴۰) و اشکال تزریق کد از طریق وبگاه دیگری (CVE-۲۰۱۸-۴۹۴۱) که می‌تواند منجر به نشت اطلاعات شود را نیز وصله کرده است. این به‌روزرسانی امنیتی یک آسیب‌پذیری پلاگین Adobe PhoneGap Push را نیز برطرف ساخته است.
 
این وصله آسیب‌پذیری مهم Same- Origin Method Execution (SOME) که در نسخه‌ی ۲.۱.۰ برنامه‌های PhoneGap  پلاگین Push وجود دارد را حل می‌کند.
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.