Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

В этом месяце, в ходе мартовского «вторника обновлений» инженеры Adobe устранили две критические уязвимости в своих продуктах. Обе проблемы допускали исполнение произвольного кода (одна в Adobe Photoshop CC, другая в Adobe Digital Editions) в контексте текущего пользователя. Разработчики пишут, что им не известно об эксплуатации этих проблем в ходе реальных атак.

Уязвимость в Adobe Photoshop CC была обанружена исследователями Trend Micro Zero Day и получила идентификатор CVE-2019-7094. Проблема представляет собой heap corruption и распространяется на Photoshop CC 19.1.7 и более ранние версии 19.x, а также Photoshop CC 20.0.2 и более ранние версии 20.x для Windows и macOS.

Вторая критическая проблема имеет идентификатор CVE-2019-7095 и угрожает Windows-версии программы для чтения электронных книг Adobe Digital Editions. Уязвимость заключается в переполнении хипа и представляет опасность для версии 4.5.10.185749 и младше.

Также напомню, что ранее в этом месяце разработчики Adobe выпустили внеплановый патч для критической проблемы в ColdFusion, не дожидаясь «вторника обновлений». Эта уязвимость получила идентификатор CVE-2019-7816 и статус критической. Выход внепланового патча был связан с тем, что эту проблему на тот момент уже использовали хакеры.

Кроме того, стоит сказать, что в этом месяце представители Adobe анонсировали «дату смерти» Shockwave player для Windows. Прекращение поддержки запланировано на 9 апреля 2019 года. При этом Shockwave player для macOS не поддерживается с 1 марта 2017 года.

Теги: CSS, Adobe Photoshop этом идентификатор версии