Adobe 修补 Bridge、Photoshop 中的严重安全漏洞

Adobe已发布了针对Adobe Bridge中的四个关键漏洞的安全补丁，以及针对Adobe Digital Editions，Adobe Photoshop和RoboHelp中的漏洞的其他严重和重要评级的更新。

总体而言，Adobe在计划的4月更新中修复了其产品中的10个安全漏洞，其中有7个被列为关键漏洞。

Adobe发布的CVE中没有一个被公认为是众所周知的，也没有在发布之时受到主动攻击。

“本月，Adobe针对Photoshop，Digital Editions，Bridge和Robohelp进行了四次更新，所有这些更新均被评为优先级3，” Ivanti产品管理和安全高级总监Chris Goettl说。“ Adobe进行优先级排序的原因是因为此更新解决了产品的漏洞，该产品历来不是攻击者的目标。Adobe建议管理员自行决定安装更新。”

Goettl指出，这是供应商严重性等级的一个方面，许多人没有考虑到这一点–如果应用程序不太可能成为威胁参与者的目标，则Adobe会降低漏洞的严重性，而不管其漏洞的严重性如何。是。因此，应在每个组织的基础上确定修补程序的优先级。

他说：“尽管历史证据能准确反映Adobe的评估，但并不能消除所有风险。” “ Photoshop多年来拥有多达9个被利用的CVE，最近的是2015年的CVE。在这四个更新中，Photoshop是风险最高的。”

Adobe Bridge安全漏洞

Adobe Bridge是一个创意资产管理器，可以帮助用户以简化的方式预览，组织，编辑和发布多个创意资产。它包含四个严重的错误以及两个“重要”漏洞：

• CVE-2021-21093和CVE-2021-21092是导致任意代码执行的关键内存损坏问题。
• CVE-2021-21094和CVE-2021-21095是严重的越界写入错误，也导致任意代码执行。
• CVE-2021-21091是一个重要的越界阅读问题，可能导致信息泄露；
• CVE-2021-21096源于不正确的授权，并允许特权升级。

“任意代码执行或ACE漏洞为攻击者提供了一个平台，可以在目标系统上快速执行其他代码或应用程序，从而为横向移动或快速渗透系统数据打开了大门，” Automox产品营销经理Jay Goodman说道，通过电子邮件说。

4月份的其他Adobe补丁程序

Adobe还解决了Photoshop中的两个关键漏洞，这是其流行的照片编辑软件（CVE-2021-28548和CVE-2021-28549）。两者都是允许任意代码执行的缓冲区溢出漏洞。

该公司还修补了Adobe Digital Editions中的最后一个严重漏洞CVE-2021-21100，该漏洞是特权升级问题，允许任意文件系统写入。Digital Editions是Adobe的电子书阅读器软件，用于获取，管理和阅读电子书，数字报纸和其他数字出版物。

Goodman说：“此漏洞使攻击者可以迫使目标应用程序以特权用户的身份覆盖系统上的任何文件。” “这可以使攻击者通过覆盖关键的系统文件使系统脱机。”

最后，Adobe在RoboHelp中修补了一个重要等级的漏洞，该漏洞是用于撰写技术文章和操作方法的平台。该漏洞为CVE-2021-21070，是一个不受控制的搜索路径元素，它可能允许特权升级。

用户可以通过转到帮助>检查更新来启用漏洞的自动更新。

Goodman指出：“这些漏洞应在72小时内修补，以确保攻击者没有时间用武器对付您的组织。”