Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamenti di sicurezza per Acrobat, Reader, Photoshop e altri prodotti Adobe

acrobat  adobe  adobe reader   mercoledì, 18 marzo 2020

Il 17 marzo 2020 Adobe ha rilasciato aggiornamenti di sicurezza importanti e critici per Acrobat e Reader su Windows e macOS, Photoshop su Windows e macOS, Experience Manager su tutte le piattaforme supportate, Coldfusion su tutte le piattaforme supportate, Bridge su Windows e Genuine Integrity Service su Windows. Questi aggiornamenti risolvono diverse vulnerabilità, le più gravi delle quali potrebbero consentire ad un attaccante di elevare i propri privilegi, accedere ad informazioni potenzialmente sensibili o eseguire codice arbitrario.

I dettagli delle vulnerabilità risolte da questi aggiornamenti sono i seguenti:

Adobe Acrobat e Reader

  • [Importante] Due vulnerabilità di tipo out-of-bounds read (lettura della memoria fuori dai limiti) che possono causare la divulgazione di informazioni (CVE-2020-3804, CVE-2020-3806).
  • [Critico] Una vulnerabilità di tipo out-of-bounds write (scrittura della memoria fuori dai limiti) che può causare l’esecuzione di codice arbitrario (CVE-2020-3795).
  • [Critico] Una vulnerabilità di tipo stack-based buffer overflow che può causare l’esecuzione di codice arbitrario (CVE-2020-3799).
  • [Critico] Vulnerabilità multiple di tipo use after free (riutilizzo di un’area di memoria già liberata) che possono causare l’esecuzione di codice arbitrario (CVE-2020-3792, CVE-2020-3793, CVE-2020-3801, CVE-2020-3802, CVE-2020-3805).
  • [Importante] Una vulnerabilità di tipo memory address leak che può causare a divulgazione di informazioni (CVE-2020-3800).
  • [Critico] Una vulnerabilità di tipo buffer overflow che può causare l’esecuzione di codice arbitrario (CVE-2020-3807).
  • [Critico] Una vulnerabilità di tipo corruzione della memoria che può causare l’esecuzione di codice arbitrario (CVE-2020-3797).
  • [Importante] Una vulnerabilità di tipo caricamento non sicuro di librerie (DLL hijacking) che può causare l’esecuzione di codice arbitrario (CVE-2020-3803).

Adobe Photoshop

Adobe Experience Manager

Adobe ColdFusion

  • [Critico] Una vulnerabilità che può causare l’accesso in lettura da remoto a file arbitrari nella directory di installazione di Coldfusion (CVE-2020-3761).
  • [Critico] Una vulnerabilità che può causare l’esecuzione di codice arbitrario tramite file situati nella directory webroot o in sue sotto-directory (CVE-2020-3794).

Adobe Bridge

  • [Critico] Una vulnerabilità di tipo out-of-bounds write (scrittura della memoria fuori dai limiti) che può causare l’esecuzione di codice arbitrario (CVE-2020-9551).
  • [Critico] Una vulnerabilità di tipo heap-based buffer overflow che può causare l’esecuzione di codice arbitrario (CVE-2020-9552).

Adobe Genuine Integrity Service

  • [Importante] Una vulnerabilità legata a permessi non sicuri per i file che può causare l’elevazione dei privilegi (CVE-2020-3766).

Si raccomanda a tutti gli utenti e agli amministratori di sistema di consultare i bollettini di sicurezza di Adobe APSB20-13, APSB20-14, APSB20-15, APSB20-16, APSB20-17 e APSB20-12 e di scaricare ed applicare gli aggiornamenti necessari.

Gli utenti Windows e macOS debbono aggiornare Acrobat e Acrobat Reader ad una delle seguenti versioni:

  • Acrobat DC e Acrobat Reader DC versione 2020.006.20042
  • Acrobat 2017 e Acrobat Reader 2017 versione 2017.011.30166
  • Acrobat 2015 e Acrobat Reader 2015 versione 2015.006.30518

Gli utenti Windows e macOS debbono aggiornare Photoshop ad una delle seguenti versioni:

  • Photoshop CC 2019 20.0.9
  • Photoshop 2020 21.1.1

Gli utenti di Adobe Experience Manager debbono aggiornare le applicazioni alla versione più recente disponibile per la propria piattaforma.

Gli utenti di Adobe ColdFusion debbono aggiornare l’applicazione ad una delle seguenti versioni:

  • ColdFusion 2016 Update 14
  • ColdFusion 2018 Update 8

Gli utenti Windows debbono aggiornare Adobe Bridge alla versione 10.0.3.

Gli utenti Windows debbono aggiornare Adobe Genuine Integrity Service alla versione 6.6.

Notizie correlate

Aggiornamento di sicurezza critico per Adobe Creative Cloud Desktop Application

25 marzo 2020

Adobe ha rilasciato un aggiornamento di sicurezza per Creative Cloud Desktop Application che corregge una vulnerabilità critica che potrebbe consentire la cancellazione di file arbitrari.Leggi tutto

Aggiornamenti di sicurezza critici per Adobe After Effects e Adobe Media Encoder

20 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza critici per After Effects e Media Encoder. Questi aggiornamenti risolvono due vulnerabilità che possono causare l’esecuzione di codice arbitrario.Leggi tutto

Aggiornamenti di sicurezza critici per Flash Player, Acrobat, Reader e altri prodotti Adobe

12 febbraio 2020

Adobe ha rilasciato aggiornamenti di sicurezza importanti e critici per Flash Player, Acrobat e Reader, Experience Manager, Framemaker e Digital Editions.Leggi tutto