کمیته رکن چهارم – شرکت ادوبی روز سهشنبه بهروزرسانی امنیتی را برای محصولات خود منتشر کرد که در آن بهطور کلی ۵۹ آسیبپذیری وصله شده بود. از جمله آسیبپذیریهایی که این هفته وصله شدهاند، میتوان اشکالاتی که در مسابقهی Pwn۲Own امسال افشاء شد را نام برد.
به گزارش کمیته رکن چهارم،اکثر آسیبپذیریها و یا اگر بخواهیم دقیقتر بگوییم، ۴۷ مورد از آسیبپذیریها بر روی نسخهی ویندوز و مک ادوبی آکروبات و ادوبی ریدر وصله شده است. این آسیبپذیریها جدی بوده و مربوط به خرابی حافظه هستند که بهرهبرداری موفق از آنها به مهاجم اجازهی اجرای کد دلخواه را داده و منجر به نشت حافظه میشود.
در ادوبی فلشپلیر نیز ۷ آسیبپذیری حیاتی وصله شده است. این آسیبپذیریها، استفاده پس از آزادسازی و خرابی حافظه بودند که در صورت بهرهبرداری، به مهاجم اجازهی اجرای کد بر روی سامانهی آسیبپذیر را میدادند. بسیاری از آسیبپذیریها توسط محققان امنیتی ترندمیکرو به شرکت ادوبی گزارش شده است که تعدادی از آنها نیز در مسابقهی Pwn۲Own افشاء شده بود.
شرکت ادوبی همچنین آسیبپذیریهایی را در محصولات دیگر مانند فتوشاپ سیسی نسخهی مک و ویندوز، Campaign و Creative Cloud Desktop Application در ویندوز وصله کرده است. این شرکت اعلام کرد بهرهبرداری از این آسیبپذیریها در دنیای واقعی را مشاهده نکرده است.
یک آسیبپذیری روز-صفرم دارای شناسهی CVE-۲۰۱۷-۰۱۹۹ است و یک اشکال مربوط به آفیس و وردپد است که برای توزیع بدافزارهایی مانند Dridex، WingBird، Latentbot و Godzilla مورد بهرهبرداری قرار میگیرد. یک آسیبپذیری دیگر با شناسهی CVE-۲۰۱۷-۰۲۱۰ مربوط به ارتقاء امتیاز است که در اینترنت اکسپلورر وجود دارد.
یک آسیبپذیری روز-صفرم دیگر آفیس را تحت تأثیر قرار میدهد ولی هنوز وصله نشده است. شرکت مایکروسافت برای این منظور راهحلهایی را ارائه داده تا تأثیرات بهرهبرداری از این آسیبپذیری کاهش یابد. این آسیبپذیری در مقیاس محدود و در حملات هدفمند مورد بهرهبرداری قرار گرفته است.
منبع:security week
