Boletín de seguridad sorpresa de Adobe dominado por parches críticos - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Boletín de seguridad sorpresa de Adobe dominado por parches críticos

Hola otra vez. En el teclado Eduardo Arroyo y en el día de hoy hablaremos sobre Boletín de seguridad sorpresa de Adobe dominado por parches críticos

Boletín de seguridad sorpresa de Adobe dominado por parches críticos

De 92 vulnerabilidades de seguridad, 66 se clasifican como críticas en términos de gravedad y permiten principalmente la ejecución de código. El más grave puede dar lugar a la divulgación de información.

Esta semana, Adobe lanzó una gigantesca actualización de seguridad fuera de banda que corrige 92 vulnerabilidades en 14 productos.

La mayoría de los errores revelados son problemas críticos y la mayoría permiten la ejecución de código arbitrario (ACE). La escalada de privilegios, la denegación de servicio y las fugas de memoria / divulgación de información también están bien representadas.

Adobe After Effects, Animate, Audition, Bridge, Character Animator, Illustrator, InDesign, Lightroom Classic, Media Encoder, Photoshop, Prelude, Premiere Pro, Premiere Elements y XMP Toolkit SDK han recibido parches.

Hay muchos puntos en común entre los avisos. Por ejemplo, la mayor parte de los errores permiten el acceso a una ubicación de memoria después del final de un búfer, lo que lleva a ACE (un tipo de problema de memoria que se puede explotar, como un desbordamiento de búfer estándar en el peor de los casos).

Además, casi todos los problemas críticos tienen una calificación de 7.8 en la escala de gravedad de vulnerabilidad CVSS, con la excepción de un tipo. La advertencia enumera los «errores de eliminación de referencias del puntero NULL que causan pérdidas de memoria» como los problemas más graves del grupo, todos con una puntuación de 8,3 en la escala CVSS. Estos aparecen en Bridge, Media Encoder, Prelude y Premiere Elements (y están en cursiva, a continuación).

Aquí está el desglose completo de errores críticos:

  • CVE-2021-40751, CVE-2021-40752, CVE-2021-40753, CVE-2021-40754, CVE-2021-40755, CVE-2021-40757, CVE-2021-40758, CVE-2021-40759, CVE- 2021-40760 (Acceso a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40733, CVE-2021-42266, CVE-2021-42267 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-42268 (Desreferencia del puntero NULL / ACE)
  • CVE-2021-42269 (usar después de gratis / ACE)
  • CVE-2021-42270, CVE-2021-42271, CVE-2021-42272, CVE-2021-42524 (Escritura fuera de límites / ACE)
  • CVE-2021-40734, CVE-2021-40735, CVE-2021-40736, CVE-2021-40738, CVE-2021-40739, CVE-2021-40740 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40750 (derivación de puntero NULL / pérdida de memoria)
  • CVE-2021-42533 (doble gratis / as)
  • CVE-2021-42722, CVE-2021-42720, CVE-2021-42719 (Lectura fuera de rango / ACE)
  • CVE-2021-42728 (desbordamiento de búfer / ACE)
  • CVE-2021-42724, CVE-2021-42729, CVE-2021-42730 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40763, CVE-2021-40764, CVE-2021-40765 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40718 (lectura fuera de límites / pérdida de memoria)
  • CVE-2021-40746 (lectura fuera de rango / ACE)
  • CVE-2021-42732 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-42731 (desbordamiento de búfer / ACE)
  • CVE-2021-40776 (Creación de archivos temporales en un directorio con permisos / privilegios de escalamiento incorrectos)
  • CVE-2021-40778 (pérdida de memoria / desreferencia de puntero NULL)
  • CVE-2021-40777, CVE-2021-40779, CVE-2021-40780 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-42735 (Acceso a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-42736 (desbordamiento de búfer / ACE)
  • CVE-2021-40773 (derivación de puntero NULL / pérdida de memoria)
  • CVE-2021-42733 (Entrada incorrecta / Validación ACE)
  • CVE -2021-40775, CVE-2021-42738, CVE-2021-42737, CVE-2021-40772, CVE-2021-40771 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40785 (derivación de puntero NULL / pérdida de memoria)
  • CVE-2021-40786, CVE-2021-40787, CVE-2021-42526, CVE-2021-42527 (Acceso a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-40792, CVE-2021-40793, CVE-2021-40794 (Acceder a la ubicación de la memoria después del final del búfer / ACE)
  • CVE-2021-42529, CVE-2021-42530, CVE-2021-42531, CVE-2021-42532 (desbordamiento de búfer basado en pila / ACE)

Este boletín fue sugerido por los hallazgos de dos equipos que merecen premios como Busy Beaver: investigadores de Adobe acreditados por TopSec Alpha Team y Zero-Day Initiative de Trend Micro para todos los errores excepto CVE-2021-40746 en Illustrator, acreditado a «Tmgr». Esto también podría explicar algunos de los puntos en común de los boletines.

Las correcciones se producen dos semanas después de que Adobe lanzara los parches mensuales regulares de los martes de parches. Un portavoz de la compañía calificó el lanzamiento como «planeado» en lugar de una respuesta de emergencia, y de hecho, dijo Adobe en su consejo que no hay evidencia de que alguno de los errores sea explotado en la naturaleza.

«Si bien nos esforzamos por publicar actualizaciones programadas regularmente el martes de parches, ocasionalmente estas actualizaciones de seguridad programadas regularmente se publican en fechas distintas al martes de parches», dijo un portavoz de la compañía. el registro.

Nota: la advertencia de Bridge se enumera como prioridad 2 para la aplicación de parches, que en Adobe idioma significa que históricamente el producto ha estado en alto riesgo de explotación, por lo que viene con una recomendación de que los administradores apliquen el parche dentro de los 30 días. Las otras alertas tienen prioridad 3, que es el nivel de riesgo más bajo, lo que significa que los administradores pueden aplicar parches «a su discreción».

.

Puedes compartir en tus redes sociales para que tus amigos lo flipen

??? ? ? ???

Comparte