Boletim de segurança surpresa da Adobe dominado por patches críticos

A Adobe lançou uma enorme atualização de segurança fora de banda esta semana, abordando 92 vulnerabilidades em 14 produtos.

A maioria dos bugs divulgados são problemas de gravidade crítica e a maioria permite a execução arbitrária de código (ACE). Escalonamento de privilégios, negação de serviço e vazamentos de memória / divulgação de informações também estão bem representados.

Adobe After Effects, Animate, Audition, Bridge, Character Animator, Illustrator, InDesign, Lightroom Classic, Media Encoder, Photoshop, Prelude, Premiere Pro, Premiere Elements e o XMP Toolkit SDK todos os patches recebidos.

Há muitos pontos em comum entre os avisos. Por exemplo, a maior parte dos bugs permitem o acesso a um local da memória após o término de um buffer, levando ao ACE (um tipo de problema de memória que pode ser explorado, como um estouro de buffer padrão no pior cenário).

Além disso, quase todos os problemas críticos têm uma classificação de 7,8 na escala de gravidade da vulnerabilidade CVSS, exceto para um tipo. O aviso lista as falhas de “bugs de desreferência de ponteiro NULL que causam vazamento de memória” como os problemas mais graves do grupo, todos com classificação 8.3 na escala CVSS. Eles aparecem em Bridge, Media Encoder, Prelude e Premiere Elements (e estão em itálico , abaixo).

Adobe October Out-of-Band CVEs

Aqui está a análise completa dos bugs críticos:

Adobe After Effects :

• CVE-2021-40751, CVE-2021-40752, CVE-2021-40753, CVE-2021-40754, CVE-2021-40755, CVE-2021-40757, CVE-2021-40758, CVE-2021-40759, CVE- 2021-40760 (Acesso do local da memória após o fim do buffer / ACE)

Animate :

• CVE-2021-40733, CVE-2021-42266, CVE-2021-42267 (Acesso ao local da memória após o fim do buffer / ACE)
• CVE-2021-42268 (Dereferência de Ponteiro NULL / ACE)
• CVE-2021-42269 (usar após grátis / ACE)
• CVE-2021-42270, CVE-2021-42271, CVE-2021-42272, CVE-2021-42524 (gravação fora dos limites / ACE)

Audition:

• CVE-2021-40734, CVE-2021-40735, CVE-2021-40736, CVE-2021-40738, CVE-2021-40739, CVE-2021-40740 (Acesso de localização de memória após término de buffer / ACE)

Bridge :

• CVE-2021-40750 (cancelamento de referência do ponteiro NULL / vazamento de memória )
• CVE-2021-42533 (Duplo Livre / ACE)
• CVE-2021-42722, CVE-2021-42720, CVE-2021-42719 (leitura fora dos limites / ACE)
• CVE-2021-42728 (Estouro de Buffer / ACE)
• CVE-2021-42724, CVE-2021-42729, CVE-2021-42730 (Acesso ao local da memória após o fim do buffer / ACE)

Character Animator :

• CVE-2021-40763, CVE-2021-40764, CVE-2021-40765 (Acesso de localização de memória após término de buffer / ACE)

Ilustrator:

• CVE-2021-40718 (Leitura fora dos limites / vazamento de memória)
• CVE-2021-40746 (leitura fora dos limites / ACE)

InDesign:

• CVE-2021-42732 (Acesso do local da memória após o fim do buffer / ACE)
• CVE-2021-42731 (Estouro de Buffer / ACE)

Lightroom Classic:

• CVE-2021-40776 (Criação de arquivo temporário no diretório com permissões incorretas / escalonamento de privilégios)

Media Encoder:

• CVE-2021-40778 (cancelamento de referência do ponteiro NULL / vazamento de memória )
• CVE-2021-40777, CVE-2021-40779, CVE-2021-40780 (Acesso de localização de memória após término de buffer / ACE)

Photoshop:

• CVE-2021-42735 (Acesso ao local da memória após o fim do buffer / ACE)
• CVE-2021-42736 (Buffer Overflow / ACE)

Prelude:

• CVE-2021-40773 (cancelamento de referência do ponteiro NULL / vazamento de memória )
• CVE-2021-42733 (validação de entrada imprópria / ACE)
• CVE -2021-40775, CVE-2021-42738, CVE-2021-42737, CVE-2021-40772, CVE-2021-40771 (Acesso da localização da memória após o fim do buffer / ACE)

Premiere Elements:

• CVE-2021-40785 (cancelamento de referência do ponteiro NULL / vazamento de memória )
• CVE-2021-40786, CVE-2021-40787, CVE-2021-42526, CVE-2021-42527 (Acesso ao local da memória após o fim do buffer / ACE)

Premiere Pro:

• CVE-2021-40792, CVE-2021-40793, CVE-2021-40794 (Acesso de localização de memória após término de buffer / ACE)

SDK do kit de ferramentas XMP:

• CVE-2021-42529, CVE-2021-42530, CVE-2021-42531, CVE-2021-42532 (Stack-Based Buffer Overflow / ACE)

Este boletim foi motivado por descobertas de duas equipes que merecem prêmios ocupados-castor: a Adobe atribuiu diversos créditos aos pesquisadores da TopSec Alpha Team e da Trend Micro’s Zero-Day Initiative (ZDI) para a maioria dos bugs, exceto para CVE-2021-40746 no Illustrator, creditado a “Tmgr.” Isso também pode explicar algumas das semelhanças nos boletins.

“Dos patches lançados pela Adobe, nove deles vieram por meio do programa ZDI”, disse Dustin Childs da ZDI ao Threatpost. “A maioria deles são bugs de análise de arquivo simples, mas também existem alguns bugs de gravação fora dos limites (OOB) com classificação crítica. Para eles, a vulnerabilidade resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma gravação além do final de uma estrutura alocada. Um invasor pode aproveitar esses bugs para executar o código no contexto do processo atual. ”

As correções vêm duas semanas depois que a Adobe lançou seus patches mensais normais de Patch Tuesday. Um porta-voz da empresa caracterizou o lançamento como “planejado”, em vez de uma resposta de emergência – e, de fato, a Adobe disse em seus comunicados que não há evidências de que qualquer um dos bugs esteja sendo explorado em liberdade.

“Embora nos esforcemos para lançar atualizações agendadas regularmente na terça-feira de patch, ocasionalmente essas atualizações de segurança agendadas regularmente são lançadas em datas não-Patch Tuesday”, disse um porta-voz da empresa ao Register .

Observação: o comunicado para o Bridge está listado como prioridade 2 para patch, o que, no jargão da Adobe, significa que o produto esteve historicamente sob risco elevado de exploração, portanto, ele vem com uma recomendação de que os administradores façam patch em 30 dias. Os outros avisos são de prioridade 3, que é o nível de risco mais baixo, o que significa que os administradores podem corrigir “a seu critério”.

Fonte: https://threatpost.com/