Adobe avisa usuários do Windows e macOS sobre falhas de gravidade crítica

A Adobe corrigiu três falhas de gravidade crítica no Adobe Prelude, Adobe Experience Manager e Adobe Lightroom.

A Adobe Systems eliminou falhas de gravidade crítica em seus aplicativos Adobe Prelude, Adobe Experience Manager e Adobe Lightroom. Se exploradas, as vulnerabilidades graves podem levar à execução arbitrária de códigos.

No geral, a Adobe lançou patches para falhas vinculadas a um CVEs de classificação importante e três de severidade crítica, durante suas atualizações de segurança programadas regularmente para dezembro. As atualizações seguem os patches de novembro da empresa, em que a empresa corrigiu falhas de gravidade crítica vinculadas a quatro CVEs nas versões Windows e macOS de sua família Acrobat e Reader de serviços de software de aplicativo; todos os quais podem ser explorados para executar código arbitrário nos produtos afetados.

“A Adobe não tem conhecimento de nenhuma exploração em andamento para nenhum dos problemas abordados nessas atualizações”, de acordo com a atualização de segurança da Adobe.

O resumo do patch da Adobe deste mês incluiu uma vulnerabilidade crítica de cross-site scripting (XSS) no Adobe Experience Manager (AEM), a solução de gerenciamento de conteúdo da empresa para construir sites, aplicativos móveis e formulários. Se explorada, a vulnerabilidade (CVE-2020-24445) pode permitir que um malfeitor execute JavaScript arbitrário no navegador da vítima.

AEM CS, AEM 6.5.6.0 e anterior, AEM 6.4.8.2 e anterior e AEM 6.3.3.8 e anterior são afetados; Os usuários do AEM podem atualizar para as versões fixas do AEM, abaixo. A atualização é uma “prioridade 2” que, de acordo com a Adobe, resolve falhas em um produto que “historicamente tem estado em risco elevado” – mas para o qual atualmente não há exploits conhecidos.

Versões fixas de AEM. Crédito: Adobe

Uma falha de gravidade importante também existe no AEM (CVE-2020-24444), que decorre da falsificação de solicitação cega do lado do servidor (SSRF). O SSRF cego ocorre quando um aplicativo pode ser manipulado para emitir uma solicitação HTTP de back-end para um URL fornecido, mas a resposta da solicitação de back-end não é retornada na resposta de front-end do aplicativo. Esse problema pode resultar na divulgação de dados confidenciais, de acordo com a Adobe.

A Adobe também abordou uma vulnerabilidade crítica em seu Lightroom Classic para Windows e macOS, que, se explorado, poderia permitir a execução arbitrária de código no contexto do usuário atual. O Lightroom Classic é um aplicativo de desktop da Adobe que permite a edição de fotos.

A falha decorre de um elemento de caminho de pesquisa não controlado no Lightroom Classic , versão 10.0 e anterior do Windows. Um caminho de pesquisa não controlado é um ponto fraco que ocorre quando os aplicativos usam caminhos de pesquisa fixos para encontrar recursos – mas um ou mais locais do caminho estão sob controle de um usuário mal-intencionado. No caso dessa falha (CVE-2020-24447) no Lightroom Classic, o problema pode permitir a execução arbitrária de código.

A Adobe instou os usuários do Lightroom Classic nas plataformas Windows e MacOS a atualizar para a versão 10.1. A atualização é uma atualização de “prioridade 3”, o que significa que existe em um produto que “historicamente não tem sido alvo de invasores”, de acordo com a Adobe.

“A Adobe recomenda que os administradores instalem a atualização a seu critério”, de acordo com a atualização.

Uma vulnerabilidade crítica final foi corrigida no Adobe Prelude, a ferramenta de registro da Adobe para marcar mídia com metadados para pesquisa, fluxos de trabalho de pós-produção e gerenciamento de ciclo de vida de filmagem. Esta vulnerabilidade é outro caminho de pesquisa não controlado (CVE-2020-24440) que afeta o Adobe Prelude versão 9.0.1 e anterior para Windows. Se explorada, a falha pode permitir a execução arbitrária de código.

Os usuários são incentivados a atualizar para o Adobe Prelude versão 9.0.2 para Windows e macOS em que a Adobe prescreve uma classificação de atualização de “prioridade 3”.

A Adobe Systems lidou com vários problemas de segurança nos últimos meses. Em outubro, após alertar sobre uma vulnerabilidade crítica  em seu aplicativo Flash Player para usuários nos sistemas operacionais Windows, macOS, Linux e ChromeOS, a Adobe lançou 18 patches de segurança fora de banda  em 10 pacotes de software diferentes, incluindo correções para vulnerabilidades críticas que se estendem em seu pacote de produtos. O Adobe Illustrator foi o mais atingido.

Fonte: https://threatpost.com/