Adobe heeft onlangs patches uitgebracht die vier kritieke kwetsbaarheden in Adobe Bridge aanpakken, en verschillende andere tekortkomingen in Adobe Digital Editions, Photoshop en RoboHelp.
De update van april bevat alle benodigde patches die zo snel mogelijk moeten worden toegepast. Gelukkig, er zijn geen meldingen dat een van de kwetsbaarheden in het wild wordt uitgebuit, maar het is bekend dat cybercriminelen fouten snel bewapenen.
Meer over de kwetsbaarheden van Adobe Bridge
Adobe opgelost de volgende kwetsbaarheden in het Bridge-product, ontworpen om gebruikers te helpen op een gestroomlijnde manier met meerdere creatieve middelen te werken:
- CVE-2021-21093, CVE-2021-21092: kritieke fouten in geheugenbeschadiging die worden beschreven als fouten bij het uitvoeren van willekeurige code;
- CVE-2021-21094, CVE-2021-21095: kritieke out-of-bounds-schrijffouten die het uitvoeren van willekeurige code kunnen veroorzaken;
- CVE-2021-21091: een belangrijke fout in het lezen buiten het bereik die uiteindelijk leidt tot het vrijgeven van informatie;
- CVE-2021-21096: een fout van onjuiste autorisatie die escalatie van privileges mogelijk maakt.
De kritieke kwetsbaarheden in Photoshop
CVE-2021-28548 en CVE-2021-28549 zijn twee kritieke kwetsbaarheden, beide beschreven als buffer-overflow-fouten die het uitvoeren van willekeurige code zouden kunnen veroorzaken.
“Adobe heeft updates uitgebracht voor Photoshop voor Windows en macOS. Deze updates lossen meerdere kritieke kwetsbaarheden op. Succesvol misbruik kan leiden tot het uitvoeren van willekeurige code in de context van de huidige gebruiker," de officieel Adobe-advies zegt.
De kritieke kwetsbaarheid in Adobe Digital Editions
Deze kwetsbaarheid staat bekend als CVE-2021-21100, of een probleem met escalatie van privileges dat willekeurig schrijven naar het bestandssysteem zou kunnen veroorzaken. Digital Editions is software voor het lezen van e-books die is ontworpen om te verwerven, beheren, en lees e-books en andere digitale publicaties.
Door het beveiligingslek kan een aanvaller de app dwingen een bestand op een systeem te overschrijven als een geprivilegieerde gebruiker.
De RoboHelp-kwetsbaarheid
Adobe heeft een belangrijk probleem aangepakt in RoboHelp, een platform voor het maken van technische artikelen en tutorials. Bijgehouden als CVE-2021-21070, de kwetsbaarheid is een ongecontroleerd zoekpadelement dat uiteindelijk escalatie-aanvallen mogelijk maakt.
Alle kwetsbaarheden moeten binnen worden gepatcht 72 uren om ervoor te zorgen dat cybercriminelen geen tijd hebben om zich te wapenen tegen organisaties.