Adobe rilascia nuovi aggiornamenti per risolvere 41 vulnerabilità in vari prodotti

18/03/2020

Adobe CVE-2020-3761 CVE-2020-3792 CVE-2020-3793 CVE-2020-3794 CVE-2020-3795 CVE-2020-3797 CVE-2020-3799 CVE-2020-3801 CVE-2020-3802 CVE-2020-3805 CVE-2020-3807 CVE-2020-9551 CVE-2020-9552 Vulnerabilità

Adobe, martedì 17 marzo, ha rilasciato diversi aggiornamenti per risolvere 41 bug che interessano i seguenti 6 prodotti:

  • Adobe Genuine Integrity Service
  • Adobe Acrobat and Reader
  • Adobe Photoshop
  • Adobe Experience Manager
  • Adobe ColdFusion
  • Adobe Bridge

Delle 41 vulnerabilità riscontrate, 29 sono di gravità critica e le altre 11 sono state ritenute importanti.

Nel dettaglio, Adobe Genuine Integrity Service è interessato da un solo difetto importante relativo all’escalation dei privilegi.

Adobe Acrobat e Reader, per sistemi Windows e macOS contiene 13 difetti, di cui 9 critici. I vari bug potrebbero permettere l’esecuzione di codice, divulgazione di informazioni ed escalation dei privilegi sui sistemi compromessi.

Alle varie vulnerabilità sono state assegnate i seguenti CVE:

Adobe Photoshop è interessato da un totale di 22 vulnerabilità, di cui 16 critiche. Le versioni interessate riguardano Photoshop CC 2019 (versioni 20.0.8 e precedenti) e Photoshop 2020 (21.1 e precedenti) per Windows e MacOS. I bug potrebbero essere sfruttati per l’esecuzione di codice arbitrario nel contesto dell’utente corrente e potrebbero portare alla divulgazione di informazioni.

Adobe Experience Manager è interessato da una vulnerabilità che potrebbe portare alla divulgazione di informazioni sensibili.

ColdFusion è interessato da una vulnerabilità che consente la lettura di un file dalla directory di installazione (CVE-2020-3761) e da una falla che potrebbe portare all’esecuzione di codice arbitrario di file situati nel webroot o sua sottodirectory. (CVE-2020-3794).

Infine Adobe Bridge, è interessato da due difetti critici che potrebbero causare l’esecuzione di codice arbitrario, tra cui un difetto di scrittura out-of-bounds (CVE-2020-9551) e un errore di buffer overflow basato su heap (CVE-2020-9552).

Conclusioni

Come di consueto il CERT-PA cosiglia di procedere con l’aggiornamento seguendo le indicazioni rilasciate dal produttore.