Adobe corrige vulnerabilidades críticas no InDesign e Framemaker
A Adobe lançou atualizações de segurança para abordar doze vulnerabilidades críticas que podem tornar possível que invasores executem códigos arbitrários em dispositivos que executam versões vulneráveis do Adobe InDesign, Adobe Framemaker e Adobe Experience Manager.
O restante do total de 18 falhas de segurança corrigidas hoje são bugs de gravidade importantes que podem levar à execução arbitrária de JavaScript no navegador por meio de vulnerabilidades de script entre sites armazenados ou divulgação de informações confidenciais por meio da execução com privilégios desnecessários.
Essas vulnerabilidades de gravidade importantes foram todas encontradas no Adobe Experience Manager (AEM) e no pacote complementar de Formulários AEM, e afetam dispositivos em todas as plataformas que executam versões de software sem patch.
A Adobe aconselha os clientes a atualizar os aplicativos vulneráveis para as versões mais recentes o mais rápido possível para bloquear ataques que tentam explorar instalações não corrigidas.
APSB20-52 Atualização de segurança disponível para Adobe InDesign
A Adobe lançou atualizações de segurança para o Adobe InDesign para macOS que corrigem bugs de corrupção de memória relatados por Kexu Wang do FortiGuard da Fortinet, que podem levar à execução arbitrária de código no contexto do usuário atual.
Os usuários do macOS devem instalar o Adobe InDesign 15.1.2 para corrigir essas cinco vulnerabilidades críticas.
| Categoria de vulnerabilidade | Impacto de vulnerabilidade | Gravidade | Número CVE |
|---|---|---|---|
| Corrupção de memória | Execução Arbitrária de Código | Crítico | CVE-2020-9727 CVE-2020-9728 CVE-2020-9729 CVE-2020-9730 CVE-2020-9731 |
APSB20-54 Atualizações de segurança disponíveis para Adobe Framemaker
A Adobe publicou atualizações de segurança para o Adobe Framemaker para corrigir problemas de estouro de buffer baseado em pilha e leitura fora dos limites que podem levar à execução arbitrária de código no contexto do usuário atual, se explorados com êxito em dispositivos Windows.
Os usuários são aconselhados a instalar o Adobe Framemaker 2019.0.7 imediatamente para corrigir essas falhas críticas de gravidade.
| Categoria de vulnerabilidade | Impacto de vulnerabilidade | Gravidade | Números CVE |
| Leitura fora dos limites | Execução arbitrária de código | Crítico | CVE-2020-9726 |
| Estouro de buffer baseado em pilha | Execução arbitrária de código | Crítico | CVE-2020-9725 |
APSB20-56 Atualizações de segurança disponíveis para Adobe Experience Manager
A Adobe lançou atualizações para o Adobe Experience Manager e o complemento AEM Forms que corrigem bugs de script entre sites armazenados e refletidos, bem como injeção e execução de HTML com problemas de privilégios desnecessários que podem levar à execução arbitrária de JavaScript, injeção arbitrária de HTML no navegador e divulgação de informações confidenciais.
Os usuários devem instalar o Adobe Experience Manager 6.5.6.0 ou 6.4.8.2 e o complemento AEM Forms Service Pack 6 para corrigir essas vulnerabilidades de segurança.
| Categoria de vulnerabilidade | Impacto de vulnerabilidade | Gravidade | Número CVE | Versões afetadas |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Crítico | CVE-2020-9732 | Formulários AEM SP5 e anteriores |
| Execução com privilégios desnecessários | Divulgação de informações confidenciais | Importante | CVE-2020-9733 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Crítico | CVE-2020-9734 | Formulários AEM SP5 e anteriores |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Importante | CVE-2020-9735 | AAEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Importante | CVE-2020-9736 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Importante | CVE-2020-9737 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Importante | CVE-2020-9738 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Crítico | CVE-2020-9740 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
| Cross-site scripting (armazenado) | Execução arbitrária de JavaScript no navegador | Crítico | CVE-2020-9741 | Formulários AEM SP5 e anteriores |
| Cross-site scripting (refletido) | Execução arbitrária de JavaScript no navegador | Crítico | CVE-2020-9742 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anterior |
| Injeção de HTML | Injeção arbitrária de HTML no navegador | Importante | CVE-2020-9743 | AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior |
