Adobe corrige vulnerabilidades críticas no InDesign e Framemaker

A Adobe lançou atualizações de segurança para abordar doze vulnerabilidades críticas que podem tornar possível que invasores executem códigos arbitrários em dispositivos que executam versões vulneráveis ​​do Adobe InDesign, Adobe Framemaker e Adobe Experience Manager.

O restante do total de  18 falhas de segurança corrigidas hoje  são bugs de gravidade importantes que podem levar à execução arbitrária de JavaScript no navegador por meio de vulnerabilidades de script entre sites armazenados ou divulgação de informações confidenciais por meio da execução com privilégios desnecessários.

Essas vulnerabilidades de gravidade importantes foram todas encontradas no Adobe Experience Manager (AEM) e no pacote complementar de Formulários AEM, e afetam dispositivos em todas as plataformas que executam versões de software sem patch.

A Adobe aconselha os clientes a atualizar os aplicativos vulneráveis ​​para as versões mais recentes o mais rápido possível para bloquear ataques que tentam explorar instalações não corrigidas.

APSB20-52 Atualização de segurança disponível para Adobe InDesign

A Adobe lançou atualizações de segurança para o Adobe InDesign para macOS que corrigem bugs de corrupção de memória relatados por Kexu Wang do FortiGuard da Fortinet, que podem levar à execução arbitrária de código no contexto do usuário atual.

Os usuários do macOS devem instalar o Adobe InDesign 15.1.2 para corrigir essas cinco vulnerabilidades críticas.

Categoria de vulnerabilidadeImpacto de vulnerabilidadeGravidadeNúmero CVE
Corrupção de memória Execução Arbitrária de CódigoCríticoCVE-2020-9727    CVE-2020-9728    CVE-2020-9729    CVE-2020-9730    CVE-2020-9731     

APSB20-54 Atualizações de segurança disponíveis para Adobe Framemaker

A Adobe publicou atualizações de segurança para o Adobe Framemaker para corrigir problemas de estouro de buffer baseado em pilha e leitura fora dos limites que podem levar à execução arbitrária de código no contexto do usuário atual, se explorados com êxito em dispositivos Windows.

Os usuários são aconselhados a instalar o Adobe Framemaker 2019.0.7 imediatamente para corrigir essas falhas críticas de gravidade.

Categoria de vulnerabilidadeImpacto de vulnerabilidadeGravidadeNúmeros CVE
Leitura fora dos limites Execução arbitrária de códigoCríticoCVE-2020-9726 
Estouro de buffer baseado em pilha Execução arbitrária de códigoCríticoCVE-2020-9725

APSB20-56 Atualizações de segurança disponíveis para Adobe Experience Manager

A Adobe lançou atualizações para o Adobe Experience Manager e o complemento AEM Forms que corrigem bugs de script entre sites armazenados e refletidos, bem como injeção e execução de HTML com problemas de privilégios desnecessários que podem levar à execução arbitrária de JavaScript, injeção arbitrária de HTML no navegador e divulgação de informações confidenciais.

Os usuários devem instalar o Adobe Experience Manager 6.5.6.0 ou 6.4.8.2 e o complemento AEM Forms Service Pack 6 para corrigir essas vulnerabilidades de segurança.

Categoria de vulnerabilidadeImpacto de vulnerabilidadeGravidadeNúmero CVEVersões afetadas
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorCríticoCVE-2020-9732Formulários AEM SP5 e anteriores
Execução com privilégios desnecessáriosDivulgação de informações confidenciaisImportanteCVE-2020-9733AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorCríticoCVE-2020-9734Formulários AEM SP5 e anteriores
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorImportanteCVE-2020-9735AAEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorImportanteCVE-2020-9736AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorImportanteCVE-2020-9737AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorImportanteCVE-2020-9738AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorCríticoCVE-2020-9740AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior
Cross-site scripting (armazenado)Execução arbitrária de JavaScript no navegadorCríticoCVE-2020-9741Formulários AEM SP5 e anteriores
Cross-site scripting (refletido)Execução arbitrária de JavaScript no navegadorCríticoCVE-2020-9742AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anterior
Injeção de HTMLInjeção arbitrária de HTML no navegadorImportanteCVE-2020-9743AEM 6.5.5.0 e anteriorAEM 6.4.8.1 e anteriorAEM 6.3.3.8 e anteriorAEM 6.2 SP1-CFP20 e anterior

Fonte: https://www.bleepingcomputer.com/news/security/adobe-fixes-critical-vulnerabilities-in-indesign-and-framemaker/