Adobe发布59个漏洞补丁 涉及Acrobat、Photoshop等15种产品

Adobe正在敦促其大批Acrobat Reader用户更新他们的软件，以修复可能允许攻击者在未打补丁的版本上执行任意代码的关键漏洞。

Adobe针对影响其核心产品的59个漏洞发布了安全更新，包括Adobe Acrobat Reader、XMP Toolkit SDK和Photoshop。这次更新解决了其在15种产品中发现的59个错误，包括Photoshop、Premiere Elements、ColdFusion和InCopy。

其中共有36个漏洞被评为“严重”，这是Adobe特定的标签，表明这些漏洞如果被利用，“将允许恶意本机代码执行，而用户可能不知道”。

至于Adobe Acrobat系列软件，修补了26个漏洞，其中13个是严重漏洞，Adobe给予“2”优先级评级，这意味着受影响的产品处于易受到“较高风险”的攻击。

其他级别较高的错误包括由类型混淆、基于堆的缓冲区溢出或自由使用的攻击方式触发的一组代码执行漏洞。

Zero-Day Initiative在周二的一篇帖子中评论道:“Photoshop补丁修复的一个bug可能导致在打开一个特制文件时执行代码。”

ZDI提醒，如果仍在使用ColdFusion，请及时打好补丁。

在严重性评级最高的Adobe错误中错误 (CVE-2021-39830) 评级为 8.8(CVSS)。另一个8.8高严重性错误 (CVE-2021-39820) 与前者一样，允许威胁行为者在Adobe InDesign 版本中任意执行代码。

其次，CVSS 分数相对较高的是 Adobe Digital Editions 中的一个缺陷，评级为8.6。该漏洞 ( CVE-2021-39826 ) 被描述为OS命令注入漏洞。

“该软件使用来自上游组件的外部影响输入构建全部或部分操作系统命令，但它不会中和或错误地中和特殊元素，这些元素在发送到下游组件时可能会修改预期的操作系统命令，” MITRE解释Digital Editions的缺陷时称。

幸运的是，据Adobe称，Adobe本月修复的所有漏洞均未公开或受到主动攻击。

建议有使用Adobe以上软件的人员及时打好补丁并实时关注软件安全情况。

软件漏洞为网络攻击提供了广泛攻击面，但这些漏洞在发布补丁后并不能被使用者及时更新，这将导致网络中存在大量安全漏洞，严重威胁到企业及机构的网络安全。在软件开发期间及时关注软件安全问题，将会大大降低后续因安全漏洞带来的影响。数据显示，超6成安全漏洞与代码有关，加强代码安全建设提高代码质量，能有效为网络安全防御筑牢根基。随着恶意软件逐渐可以轻易逃过查杀工具的检测，提高软件自身安全性已经成为网络安全防御的重要补充手段。

参读链接：

https://threatpost.com/adobe-bugs-acrobat-experience-manager/169467/