شرکت ادوبی (.Adobe, Inc) مجموعه اصلاحیههای امنیتی ماه ژوئن 2022 را برای شش نرمافزار این شرکت منتشر کرده است. اصلاحیههای مذکور، ضعفهای امنیتی را در محصولات زیر ترمیم کرده است:
بیشترین تعداد آسیبپذیری این ماه ادوبی، متعلق به Illustrator با 17 مورد است. آن دسته از ضعفهای امنیتی برطرف شده در این نرمافزار که دارای درجه اهمیت «حیاتی» (Critical) میباشند، میتوانند در صورتی که سیستم آسیبپذیر یک فایل دستکاری شده خاص را باز کند، سوءاستفاده از طریق «اجرای کد از راه دور» را امکانپذیر سازند. اکثر آسیبپذیریهای ترمیم شده در Illustrator مرتبط با «نوشتن دادههای Out-of-Bound» (Out-of-Bounds Write – به اختصار OOB Write) میباشند.
در بروزرسانی ماه ژوئن 2022، ادوبی 12 ضعف امنیتی را که 11 مورد آن دارای درجه اهمیت «حیاتی» است، در نرمافزار Bridge ترمیم نموده است.
همچنین این شرکت 8 آسیبپذیری با درجه اهمیت «حیاتی» را در نرمافزار Adobe InCopy که میتوانند امکان اجرای کد را برای مهاجم فراهم کنند، برطرف نموده است.
به طور مشابه، وصله ارائه شده برای InDesign، تعداد 7 ضعف از نوع «اجرای کد» و با درجه اهمیت «حیاتی» را برطرف کرده است.
این غول فناوری، برای هر دو نرمافزار InDesign و InCopy، ترکیبی از انواع آسیبپذیریهای«خواندن دادههای Out-of-Bound» (Out-of-Bounds Read – به اختصار OOB Read)، OOB Write، مشکلات آزادسازی فضای حافظه پس از استفاده از آن (Use-After-Free – به اختصار UAF) و سرریز حافظه (Heap Overflow) را ترمیم نموده است.
تنها ضعف امنیتی برطرف شده در نرمافزار Animate نیز دارای درجه اهمیت «حیاتی» و از نوع OOB Write است و میتواند منجر به اجرای کد دلخواه شود. در نهایت، وصله منتشر شده برای RoboHelp، اشکالی با درجه اهمیت «متوسط» (Moderate) و از نوع «ترفیع اختیارات» (Privilege Escalation) را که ناشی از تفویض مجوز نامناسب (Improper Authorization) است، برطرف میکند.
اگر چه تاکنون موردی مبنی بر سوءاستفاده از آسیبپذیریهای ترمیم شده گزارش نشده، ادوبی به مشتریان خود توصیه میکند که در اسرع وقت اقدام به نصب بروزرسانیها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیههای ماه ژوئن 2022 در نشانی زیر قابل مطالعه است:
https://helpx.adobe.com/security/security-bulletin.html
منابع:
https://helpx.adobe.com/security/security-bulletin.html
https://www.zerodayinitiative.com/blog/2022/6/14/the-june-2022-security-update-review