Adobe corrige 16 errores críticos de ejecución de código en toda la cartera - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Adobe corrige 16 errores críticos de ejecución de código en toda la cartera

Hola, ¿qué tal colega?. Soy Eduardo Arroyo y esta vez vamos a hablar sobre Adobe corrige 16 errores críticos de ejecución de código en toda la cartera

Adobe corrige 16 errores críticos de ejecución de código en toda la cartera

Los parches fuera de banda siguen a una actualización del martes de parches más ligera de lo habitual a principios de este mes.

Adobe ha lanzado 18 parches de seguridad fuera de banda en 10 paquetes de software diferentes, que incluyen correcciones para vulnerabilidades críticas que se extienden a través de su suite de productos. Adobe Illustrator fue el más afectado.

Hay 16 errores críticos que permiten la ejecución de código arbitrario en el contexto del usuario actual. Afectan a Adobe Illustrator, Adobe Animate, Adobe After Effects, Adobe Photoshop, Adobe Premiere Pro, Adobe Media Encoder, Adobe InDesign y la aplicación de escritorio Adobe Creative Cloud.

Adobe también abordó dos problemas importantes, en Dreamweaver y en el paquete Marketo Sales Insight Salesforce.

Muchos de los problemas involucran elementos no controlados de la ruta de búsqueda, pero también hay problemas fuera de los límites, problemas de corrupción de memoria y un error de Cross-Site Scripting (XSS).

«Las vulnerabilidades relacionadas con la ejecución de código arbitrario son particularmente nefastas, ya que permiten a los atacantes ejecutar directamente código malicioso en sistemas explotados», dijo a Threatpost Jay Goodman, director de marketing de productos estratégicos de Automox. “Junto con el hecho de que estas vulnerabilidades se encuentran en tecnologías críticas como Marketo y la mayoría de las aplicaciones de Adobe Creative Cloud, esto podría dejar los datos de marketing sensibles y la propiedad intelectual creativa expuestos a la destrucción o el robo de la propiedad intelectual por parte de posibles adversarios. . Las organizaciones deben tomar medidas para solucionar rápidamente estas vulnerabilidades en el plazo de 72 horas. [we recommend] para minimizar la exposición y mantener un alto nivel de higiene cibernética. «

Ilustrador contiene siete errores que afectan a Illustrator 2020 para Windows, 24.2 y versiones anteriores.

Dos de los problemas son defectos de lectura fuera de límites, (CVE-2020-24409, CVE-2020-24410); uno es un error de escritura fuera de límites (CVE-2020-24411) y cuatro se deben a daños en la memoria (CVE-2020-24412, CVE-2020-24413, CVE-2020-24414, CVE-2020-24415).

Tran Van Khang, en asociación con Trend Micro Zero Day Initiative y Honggang Ren de FortiGuard Labs de Fortinet, han sido acreditados con los hallazgos.

A Ren de Fortinet también se le atribuye haber encontrado un problema de lectura fuera de los límites (CVE-2020-24418) en After Effects para Windows (17.1.1 y versiones anteriores).

Mientras tanto, Animate para Windows (20.5 y versiones anteriores) contiene un error doble libre (CVE-2020-9747); un problema de desbordamiento de búfer basado en pila (CVE-2020-9748); y dos lecturas fuera de límites (CVE-2020-9749 y CVE-2020-9750).

A Kexu Wang de FortiGuard Labs de Fortinet se le atribuye haber encontrado los problemas. A Wang también se le atribuye haber encontrado un error de corrupción de memoria (CVE-2020-24421) que afecta a InDesign para Windows (15.1.2 y versiones anteriores).

Mientras tanto, Hou JingYi de Qihoo 360 CERT ha encontrado cuatro errores críticos en los elementos de la ruta de búsqueda no controlada, que incluyen:

  • After Effects (CVE-2020-24419)
  • Versiones de Windows de Photoshop CC 2019, 20.0.10 y anteriores; y Photoshop 2020, 21.2.2 y anteriores (ambos registrados como CVE-2020-24420)
  • Premiere Pro para Windows, 14.4 y versiones anteriores (CVE-2020-24424)
  • y Media Encoder para Windows, 14.4 y anteriores (CVE-2020-24423)

Los usuarios pueden actualizar sus instalaciones de software a través de Creative Cloud Desktop App Updater o yendo al menú Ayuda de la aplicación y haciendo clic en «Actualizaciones».

Hablando de Creative Cloud, el instalador de la aplicación de escritorio de Creative Cloud para Windows (5.2 y anterior para el producto anterior y 2.1 y anterior para el nuevo instalador) también tiene un error en el elemento de ruta de búsqueda no comprobado (CVE-2020-24422) – este descubierto por Dhiraj Mishra.

Adobe Dreamweaver 20.2 y versiones anteriores para Windows y macOS contienen un error de elemento de ruta de búsqueda sin marcar que podría permitir la escalada de privilegios (CVE-2020-24425). La falla también afecta a las dependencias de libCURL en Dreamweaver 20.1 y versiones anteriores.

A Xavier DANEST de Decathlon se le atribuye el descubrimiento.

Además, el paquete de Salesforce de Marketo Sales Insight, 1.4355 y versiones anteriores, tiene un error XSS que permite que JavaScript se ejecute en el navegador (CVE-2020-24416). Fue descubierto por Aditya Sharma y Shivam Kamboj Dattana de Root Fix.

Los parches fuera de banda siguen a la divulgación de una única vulnerabilidad en octubre como parte de los parches programados regularmente de Adobe (muy por debajo de los 18 defectos corregidos durante su actualización regular de septiembre).

Este fue un error crítico en su aplicación Flash Player para usuarios de sistemas operativos Windows, macOS, Linux y ChromeOS (CVE-2020-9746). Si se explota con éxito, podría provocar un bloqueo explotable, lo que podría provocar la ejecución de código arbitrario en el contexto del usuario actual, según Adobe.

También este mes, Adobe anunció dos fallas críticas (CVE-2020-24407 y CVE-2020-24400) en Magento, la plataforma de comercio electrónico de Adobe que comúnmente es el blanco de atacantes como el grupo de amenazas Magecart. Podrían permitir la ejecución de código arbitrario y acceso de lectura o escritura a la base de datos.

.

Recuerda compartir en en tu Twitter y Facebook para que tus colegas lo sepan

??? ? ? ???

Comparte