اصلاحیه‌های امنیتی ادوبی برای ماه میلادی ژانویه 2022

شرکت ادوبی (.Adobe, Inc) مجموعه اصلاحیه‌های امنیتی ماه ژانویه 2022 را منتشر کرد. اصلاحیه‌های مذکور، در مجموع 41 آسیب‌پذیری را در 5 محصول زیر ترمیم می‌کنند:

• Adobe Acrobat and Reader
• Adobe Illustrator
• Adobe Bridge
• Adobe InCopy
• Adobe InDesign

از مجموع 41 آسیب‌پذیری ترمیم شده اولین ماه ادوبی، 21 مورد با درجه اهمیت “حیاتی” (Critical) و دیگر موارد “مهم” (Important) و “متوسط” (Moderate) اعلام شده است. این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف ادوبی ترمیم می‌کنند:

• “ترفیع امتیازی” (Elevation of Privilege)
• “اجرای کد” (Arbitrary Code Execution)
• “نشت حافظه” (Memory Leak)
• “منع سرویس” (Denial of Service – به اختصار DoS)
• “عبور از سد امکانات امنیتی” (Security Feature Bypass)

بیشترین آسیب‌پذیری ترمیم شده این ماه ادوبی، مرتبط به Adobe Acrobat and Reader با 26 مورد بوده است. یکی از ضعف‌های امنیتی مذکور مهاجم را در صورت باز نمودن یک فایل PDF دستکاری شده توسط کاربر، قادر به “اجرای کد از راه دور” می‌سازد. از آنجایی که چندین مورد از این آسیب‌پذیری‌ها در Tianfu Cup بکار گرفته شده است، این احتمال وجود دارد که توسط مهاجمان در آینده مورد سوءاستفاده قرار گیرد.

به گزارش شرکت مهندسی شبکه گستر، با نصب به‌روزرسانی ماه اکتبر، نسخه نگارش‌های جاری نرم‌افزارهای Acrobat DC و Acrobat Reader DC به 21.011.20039، نگارش‌های ۲۰۲۰ به 20.004.30020 و نگارش‌های ۲۰۱۷ آنها به 17.011.30207 تغییر خواهند کرد.

ادوبی در به‌روزرسانی این ماه، 3 ضعف امنیتی با درجه اهمیت “حیاتی” از نوع “اجرای کد” و 1 آسیب‌پذیری با درجه اهمیت “مهم” که منجر به “ترفیع امتیازی” می‌شود را در InCopy ترمیم نموده است. وصله‌های ارائه شده برای InDesign دو ضعف امنیتی موسوم به Out-Of-Bounds Write – به اختصار (OOB) با درجه اهمیت “حیاتی” را رفع می‌کند. آسیب‌پذیری مذکور می‌تواند علاوه بر “اجرای کد” منجر به “ترفیع امتیازی” شود.

به‌روزرسانی Adobe Bridge نیز شش ضعف امنیتی را ترمیم نموده که تنها یک مورد از باگ‌های OOB Write آن از درجه اهمیت “حیاتی” است، بقیه موارد از نوع “نشت حافظه” و “ترفیع امتیازی” می‌باشند. در نهایت، وصله ارائه شده برای Illustrator نیز دو ضعف امنیتی OOB Read را رفع می‌کند که هیچ کدام منجر به “اجرای کد” نمی‌شوند.

اگر چه موردی مبنی بر سوءاستفاده از آسیب‌پذیری‌های ترمیم شده تا تاریخ 21 دی گزارش نشده، ادوبی به مشتریان خود توصیه می‌کند که در اسرع وقت اقدام به نصب به‌روزرسانی‌ها کنند. اطلاعات بیشتر در خصوص مجموعه اصلاحیه‌های ماه ژانویه 2022 در لینک زیر قابل مطالعه است:

https://helpx.adobe.com/security/security-bulletin.html

منابع:

• https://helpx.adobe.com/security/security-bulletin.html
• https://blog.qualys.com/vulnerabilities-threat-research/2022/01/11/microsoft-adobe-patch-tuesday-january-2022-microsoft-126-vulnerabilities-with-9-critical-adobe-41-vulnerabilities-22-critical
• https://www.zerodayinitiative.com/blog/2022/1/11/the-january-2022-security-update-review