Adobe ha rilasciato aggiornamenti per risolvere 36 diverse vulnerabilità in Adobe DNG Converter, Acrobat Reader e Acrobat. La software house ha reso noto i vari bug, il più pericoloso dei quali potrebbe essere sfruttato per controllare in remoto un computer e rubare informazioni.
La prima serie di patch riguarda Adobe Acrobat e Reader per macOS e Windows, incluse le versioni di Acrobat / Acrobat Reader 2015 e 2017, cosi come Acrobat e Acrobat Reader DC.
In totale sono state risolte 12 falle: sei di queste riguardano single heap overflow (vulnerabilità che avvengono in particolari blocchi di memoria), etichettate nel database delle vulnerabilità come CVE-2020-9612, due riguardano errori di scrittura “out-of-bounds” (CVE-2020-9597, CVE-2020-9594), due sono legate a problemi di buffer overflow (CVE-2020-9605, CVE-2020-9604), altre due sono indicate come vulnerabilità use-after-free (CVE-2020-9607, CVE-2020-9606) e possono consentire l’esecuzione di codice arbitrario nel contesto dell’utente attuale.
Altri problemi, ora risolti, riguardano una “race condition” (una condizione che può verificarsi su sistemi basati su processi multipli), vulnerabilità etichettata come CVE-2020-9615, e quattro bug che consentono il bypass dei meccanismi di sicurezza (CVE-2020-9614, CVE-2020-9613, CVE-2020-9596, CVE-2020-9592).
Ancora, 12 vulnerabilità gravi sono state identificate in Acrobat e Reader, problemi che potevano potenzialmente portare a individuare informazioni o provocare malfunzionamenti tipo denial-of-service.
Anche il DNG Software Development Kit (SDK) è stato aggiornato, risolvendo con la versione 1.5 vulnerabilità indicate nei bollettini sulla sicurezza. Le peggiori tra queste vulnerabilità (CVE-2020-9589, CVE-2020-9590, CVE-2020-9620 e CVE-2020-9621) potevano consentire l’esecuzione di codice remoto.
Quelle sopra elencate e altre vulnerabilità sono state individuate dal team Project Zero di Google. A fine aprile Adobe ha rilaciato aggiornamenti di sicurezza per Adobe Illustrator, Bridge e Magento; anche queste erano state indicate come “critiche” e in grado di consentir l’esecuzione di codice da remoto. Come sempre si raccomanda di installare gli aggiornamenti delle varie app appena disponiibli.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.