- האם אתה מחכה להשקת עדכוני ה-Patch Tuesday החודשית שלך?
- Adobe בדיוק סיימה לשחרר סט חדש של תיקונים היום.
- כל קישורי ההורדה שאתה צריך נמצאים כאן במאמר זה.
אין ספק שרבים מכם מחכים לרצף החודשי של Patch Tuesday של עדכוני אבטחה ואנחנו כאן כדי להקל עליכם קצת למצוא את מה שאתם מחפשים.
מובן מאליו שמיקרוסופט היא לא החברה היחידה שיש לה פריסה כזו על בסיס חודשי. אז, במאמר זה, אנו הולכים לדבר על Adobe וכמה מהתיקונים למוצרים שלהם.
כפי שאנו די בטוחים שאתה יודע עד עכשיו, נכלול גם קישורים ל- מקור הורדה, כך שלא תצטרך לסרוק באינטרנט כדי למצוא אותם.
Adobe Framemaker הייתה זקוקה ליותר עבודה החודש
למרות שרבים לא חזו זאת, החודש שעבר היה די עמוס עבור Adobe, עם ארבעה עדכונים העוסקים ב-70 CVEs ב-Acrobat ו-Reader, Photoshop, After Effects ו-Adobe Commerce.
מאי הוא הרבה יותר קל מבחינת נפח העדכונים, אז באמת לא היה כל כך מה לתקן הפעם.
החודש, Adobe פרסמה רק חמישה עדכונים העוסקים ב-18 CVEs ב-Adobe CloudFusion, InCopy, Framemaker, InDesign ו-Adobe Character Animator.
מבין כל העדכונים בהשקה זו, הגדול ביותר הוא התיקון עבור יוצר מסגרות, עם 10 CVEs בסך הכל, מתוכם תשעה באגים בדירוג קריטי שעלולים להוביל לביצוע קוד.
מומחי אבטחה הסבירו שזה יכול להיות המקרה בעיקר בגלל פרצות כתיבה מחוץ לגבולות (OOB).
| קטגוריית פגיעות | השפעת הפגיעות | חוּמרָה | ציון בסיס CVSS | וקטור CVSS | מספרי CVE |
|---|---|---|---|---|---|
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28821 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28822 |
| השתמש לאחר חינם (CWE-416) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28823 |
| השתמש לאחר חינם (CWE-416) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28824 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28825 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28826 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28827 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28828 |
| כתוב מחוץ לתחום (CWE-787) | ביצוע קוד שרירותי | קריטי | 7.8 | CVSS: 3.0/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H | CVE-2022-28829 |
| קריאה מחוץ לתחום (CWE-125) | דליפת זיכרון | חָשׁוּב | 5.5 | CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: N/A: N | CVE-2022-28830 |
ממשיכים הלאה, התוכנה מתקנת עבור אינדיזיין לטפל בשלושה באגים בדירוג קריטי שיכולים להוביל גם לביצוע קוד, מתוכם שניים נובעים מ-OOB Writes בעוד שאחד הוא OOB Read.
Adobe גם הנפיקה תיקוני תיקון עבור InCopy. במקרה זה, אנו מדברים על שלושה באגים של ביצוע קוד בדירוג קריטי.
שני כתבי OOB פלוס שימוש-לאחר-חינם (UAF), למקרה שזו תהיה השאלה הבאה שלך בנושא זה.
קיבלנו גם תיקון עבור אנימטור דמויות, כזה שמתקן באג יחיד בביצוע OOB Write code בדירוג קריטי.
ואחרון חביב, ה ColdFusion תיקון מתקן באג משתקף של סקריפטים בין אתרים (XSS) בדירוג חשוב.
חשוב גם לדעת שאף אחד מהבאגים שתוקנו על ידי Adobe החודש אינו מופיע כידוע בציבור או תחת התקפה פעילה בזמן השחרור.
מה דעתך על מהדורת החודש? שתף אותנו במחשבותיך בקטע ההערות למטה.
