Adobe telah merilis pembaruan keamanan out-of-band yang sangat besar minggu ini, menangani 92 kerentanan di 14 produk.

Mayoritas bug yang diungkapkan adalah masalah tingkat kritis, dan sebagian besar memungkinkan eksekusi kode arbitrer (ACE). Peningkatan hak istimewa, penolakan layanan, dan kebocoran memori/pengungkapan informasi semuanya terwakili dengan baik, juga.

Adobe After Effects, Animate, Audition, Bridge, Character Animator, Illustrator, InDesign, Lightroom Classic, Media Encoder, Photoshop, Prelude, Premiere Pro, Premiere Elements, dan XMP Toolkit SDK semuanya menerima patch.



Ada banyak kesamaan di seluruh saran. Misalnya, sebagian besar bug memungkinkan akses ke lokasi memori setelah buffer berakhir, yang mengarah ke ACE (sejenis masalah memori yang dapat dieksploitasi, seperti buffer overflow standar dalam skenario terburuk).

Juga , hampir semua masalah kritis memberi peringkat 7,8 pada skala keparahan kerentanan CVSS, kecuali satu jenis. Penasihat mencantumkan kelemahan "NULL pointer dereference bugs menyebabkan kebocoran memori" sebagai masalah paling parah dalam kelompok itu, semua peringkat 8,3 pada skala CVSS. Ini muncul di Bridge, Media Encoder, Prelude dan Premiere Elements (dan dicetak miring, di bawah).

Adobe October Out-of-Band CVEs

Berikut adalah rincian lengkap bug kritis:

After Effects:

• CVE-2021-40751, CVE-2021- 40752, CVE-2021-40753, CVE-2021-40754, CVE-2021-40755, CVE-2021-40757, CVE-2021-40758, CVE-2021-40759, CVE-2021-40760 (Akses Lokasi Memori Setelah Akhir dari Buffer/ACE)

Animate:
< ul>

CVE-2021-40733, CVE-2021-42266, CVE-2021-42267 (Akses Lokasi Memori Setelah Akhir Buffer/ACE)liu < ul>iCVE-2021-42268 (NULL Pointer Dereference/ACE)liu < ul>iCVE- 2021-42269 (Gunakan Setelah Bebas/ACE)liu

iCVE-2021-42270, CVE-2021-42271, CVE-2021-42272, CVE-2021-42524 (Tulis di Luar Batas/ACE)

Audition:

• CVE-2021-40734 , CVE-2021-40735, CVE-2021-40736, CVE-2021-40738, CVE-2021-40739, CVE-2021-40740 (Lokasi Akses Memori Setelah Akhir Buffer/ACE)

Bridge:
< ul>

CVE-2021-40750 ( NULL Pointer Dereference/memori le ak)liu < ul>iCVE-2021-42533 (Double Free/ACE)liu < ul>iCVE-2021-42722, CVE-2021-42720, CVE-2021-42719 (Baca di Luar Batas/ACE)liu < ul>iCVE-2021-42728 (Buffer Overflow/ACE )liu

iCVE-2021-42724, CVE-2021-42729, CVE-2021-42730 (Lokasi Akses Memori Setelah Akhir Buffer/ACE)

Animator Karakter:

• CVE-2021-40763, CVE-2021-40764, CVE-2021-40765 (Lokasi Akses Memori Setelah Buffer/ACE Berakhir)

Illustrator:
< ul>

CVE-2021-40718 (Baca Di Luar Batas/kebocoran memori)liu

iCVE-2021-40746 (Baca Di Luar Batas/ACE)

InDesign:
< ul>

CVE-20 -42732 (Akses Lokasi Memori Setelah Buffer/ACE Berakhir)liu

iCVE-2021-42731 (Buffer Overflow/ACE)

Lightroom Klasik:
< ul>

CVE-2021-40776 (Pembuatan Berkas Sementara di Direktori dengan Izin/eskalasi hak istimewa yang salah)

lucoderu
:End Media Media
< ul>

CVE-2021-40778 (Dereferensi Pointer NULL/kebocoran memori)liu

iCVE-2021-40777, CVE-2021-40779, CVE-2021-40780 (Akses Loc Memori asi Setelah Buffer/ACE Berakhir)

Photoshop:
< ul>

CVE-2021-42735 (Akses Lokasi Memori Setelah Akhir Buffer/ACE)liu

iCVE-2021-42736 (Buffer Overflow/ACE)

Pendahuluan:
< ul>

CVE-2021-40773/NULL Pointer Dereference kebocoran memori)liu < ul>iCVE-2021-42733 (Validasi Input Tidak Benar/ACE)liu

iCVE -2021-40775, CVE-2021-42738, CVE-2021-42737, CVE-2021-40772, CVE-2021-40771 (Akses Lokasi Memori Setelah End of Buffer/ACE)

Elemen Utama:
< ul>

CVE-2021-40785 (NULL Pointer Dereference/kebocoran memori)liu

iCVE-2021-40786, CVE-2021-40787, CVE-2021-42526, CVE-2021-42527 (Lokasi Akses Memori Setelah Akhir Buffer/ACE)

Premiere Pro:

• CVE-2021-40792, CVE-2021-40793, CVE-2021-40794 (Akses Lokasi Memori Setelah Akhir Buffer/ACE)

XMP Toolkit SDK:

• CVE-2021-42529, CVE -2021-42530, CVE-2021-42531, CVE-2021-42532 (Stack-Based Buffer Overflow/ACE)

Buletin ini didorong oleh temuan dari dua tim yang pantas mendapatkan penghargaan berang-berang sibuk: Adobe memberikan penghargaan kepada peneliti dari TopSec Alpha Team dan Zero-Day Initiative (ZDI) Trend Micro untuk sebagian besar bug, kecuali untuk CVE-2021-40746 di Illustrator, dikreditkan ke "Tmgr." Ini juga dapat menjelaskan beberapa kesamaan dalam bulletins.

“Dari patch yang dirilis oleh Adobe, sembilan di antaranya datang melalui program ZDI,” Dustin Childs dari ZDI mengatakan kepada Threatpost. “Sebagian besar dari ini adalah bug penguraian file sederhana, tetapi ada beberapa bug penulisan di luar batas (OOB) dengan peringkat kritis juga. Untuk ini, kerentanan dihasilkan dari kurangnya validasi yang tepat dari data yang disediakan pengguna, yang dapat mengakibatkan penulisan melewati akhir dari struktur yang dialokasikan. Penyerang dapat memanfaatkan bug ini untuk mengeksekusi kode dalam konteks proses saat ini.”

Perbaikan dilakukan dua minggu setelah Adobe merilis patch Patch Tuesday bulanan yang normal. Seorang juru bicara perusahaan mencirikan rilis sebagai "direncanakan" daripada tanggapan darurat - dan memang, Adobe mengatakan dalam nasihatnya bahwa tidak ada bukti bahwa salah satu bug sedang dieksploitasi di alam liar.

"Sementara kami berusaha untuk merilis pembaruan terjadwal secara teratur di Patch Tuesday, terkadang pembaruan keamanan yang dijadwalkan secara rutin ini dirilis pada tanggal non-Patch Tuesday,” kata juru bicara perusahaan kepada Register.

secara historis berisiko tinggi untuk dieksploitasi, sehingga muncul dengan rekomendasi bahwa administrator menambal dalam waktu 30 hari. Nasihat lainnya adalah prioritas 3, yang merupakan tingkat risiko terendah, yang berarti bahwa administrator dapat menambal “sesuai kebijaksanaan mereka.”