導(dǎo)語：

Adobe已發(fā)布了計劃的2020年7月安全更新，涵蓋了五個不同產(chǎn)品領(lǐng)域的缺陷：Creative Cloud Desktop；媒體編碼器；下載管理器; 真正的服務(wù)；和ColdFusion。

其中四個錯誤的嚴重性被評為嚴重，而其他錯誤則被評為重要。大多數(shù)重要漏洞都涉及特權(quán)升級，而關(guān)鍵漏洞則為更危險的攻擊打開了大門。

“對Adobe Download Manager和Media Encoder的更新均解決了可能導(dǎo)致任意代碼執(zhí)行的關(guān)鍵漏洞(CVE-2020-9688、9646和9650)，” Automox產(chǎn)品營銷經(jīng)理Justin Knapp告訴Threatpost?！暗谒膫€嚴重漏洞(CVE-2020-9682)影響Creative Cloud桌面，如果被利用，則可能使攻擊者可以創(chuàng)建或修改文件?！?/p>

Creative Cloud桌面

Adobe已針對Windows的Creative Cloud桌面應(yīng)用程序發(fā)布了四個漏洞的補丁程序，其中包括一個允許任意文件系統(tǒng)寫入的嚴重漏洞。

Creative Cloud是一套用于創(chuàng)建和處理視頻，設(shè)計，攝影和網(wǎng)絡(luò)藝術(shù)的應(yīng)用程序和服務(wù)。Adobe在周二計劃的每月安全更新中指出，該產(chǎn)品的受影響版本包括Creative Cloud Desktop Application 5.1和更早版本。

關(guān)鍵漏洞是符號鏈接(symlink)漏洞(CVE-2020-9682)，該漏洞可能使攻擊者成功利用漏洞可以在他們通常無法訪問的位置創(chuàng)建或修改文件。符號鏈接是其他文件的快捷方式。

“雖然這是一個關(guān)鍵漏洞，但Adobe將該漏洞排在第2位，這意味著根據(jù)過去的歷史，這些系統(tǒng)的風(fēng)險可能會增加，然后針對該特定漏洞，目前尚無已知漏洞利用，”高級主管Jimmy Graham說審核咨詢后，負責(zé)產(chǎn)品管理。

補丁程序還解決了三個重要級別的安全漏洞，所有這些漏洞都可能導(dǎo)致當(dāng)前用戶上下文中的特權(quán)升級。

• 跟蹤為CVE-2020-9669的錯誤是由于缺乏漏洞利用緩解措施造成的；
• CVE-2020-9671是由不安全的文件權(quán)限引起的；
• CVE-2020-9670是另一個不太嚴重的符號鏈接漏洞。

媒體編碼器

Adobe還發(fā)布?了適用于Windows的Adobe Media Encoder(14.2和更早版本)的更新。Media Encoder是Adobe視頻編輯套件的一部分，負責(zé)將視頻文件轉(zhuǎn)換為正確的格式，以確保它們在各種設(shè)備上都能正常播放。

該通報解決了兩個嚴重的越界寫入錯誤(CVE-2020-9650和CVE-2020-9646)，這些錯誤可能導(dǎo)致任意代碼執(zhí)行。以及重要的越界讀取(CVE-2020-9649)，該讀取可以允許在當(dāng)前用戶的上下文中公開信息。

就其本身而言，任意代碼執(zhí)行漏洞的使用范圍僅限于受影響進程的特權(quán)，但是當(dāng)與特權(quán)升級漏洞結(jié)合使用時，它可以使攻擊者快速升級進程的特權(quán)并在目標系統(tǒng)上執(zhí)行代碼，從而為攻擊者提供攻擊力完全控制該設(shè)備。

下載管理器

安全修復(fù)程序中還包括一個針對嚴重漏洞的補丁，該漏洞可能導(dǎo)致Adobe Download Manager for Windows中的任意代碼執(zhí)行。該錯誤(CVE-2020-9688)影響平臺的2.0.0.518版。

這個問題允許使用命令注入(如果被利用的話)，這最終可能會打開任意代碼執(zhí)行的大門。

安全研究員Dhiraj Mishra(@RandomDhiraj)報告了此問題。

正品服務(wù)

同時，針對Windows和macOS的Adobe正版服務(wù)具有三個重要漏洞，該服務(wù)會定期驗證已安裝的Adobe軟件以根除不正確和無效的許可證以及盜版軟件。

這些都可能導(dǎo)致當(dāng)前用戶上下文中的特權(quán)升級。其中包括兩個不安全的庫加載錯誤(CVE-2020-9667和CVE-2020-9681)；其中一個是符號鏈接處理不當(dāng)?shù)慕Y(jié)果(CVE-2020-9668)

根據(jù)Adobe的更新，它們會影響正版服務(wù)6.6和更早版本。

Adobe將發(fā)現(xiàn)歸功于CQURE(CVE-2020-9667)和Topsec Alpha Team的Li(CVE-2020-9668，CVE-2020-9681)的Adrian Denkiewicz。

Adobe ColdFusion

最后，Adobe 還發(fā)布了ColdFusion版本2016(更新15和更早版本)和2018(更新9和更早版本)中多個重要漏洞的補丁程序。ColdFusion是供應(yīng)商流行的用于構(gòu)建和部署Web和移動應(yīng)用程序的平臺。

兩個CVE掩蓋了允許DLL搜索順序劫持的缺陷，從而導(dǎo)致特權(quán)提升(CVE-2020-9672和CVE-2020-9673)。安全D中心研究小組的Nuttakorn Tungpoonsup和Ammarit Thongthua以及獨立的網(wǎng)絡(luò)安全研究員Sittikorn Sangrattanapitak均報告了這些錯誤。

與Adobe常規(guī)的每月安全補丁程序相比，7月的補丁更新不算什么，但這可能是因為該公司在6月中旬發(fā)布了針對18個關(guān)鍵漏洞的帶外更新。這些影響了許多關(guān)鍵產(chǎn)品，包括Adobe After Effects，Illustrator，Premiere Pro，Premiere Rush和Audition。如果成功利用漏洞，這些漏洞將使攻擊者能夠執(zhí)行任意代碼。

Ivanti安全產(chǎn)品管理總監(jiān)Chris Goettl對Threatpost表示：“本月的Adobe公告列表非常簡單，沒有一個更引人注目的目標?！?“ Flash Player也有一個發(fā)行版，但它與安全性無關(guān)。Adobe Acrobat和Reader在5月進行了更新，因此我們很可能會在8月的補丁程序周期中看到一些關(guān)注。”

由于平均每個組織需要107天來修補一個新漏洞，所以現(xiàn)在很可能有許多組織在公司設(shè)備上同時存在任意代碼執(zhí)行和特權(quán)提升漏洞，這可能會為攻擊者利用提供完美的渠道。

---

我們是BENCOM信息科技，專注IT基礎(chǔ)架構(gòu)解決方案十余年。任何關(guān)于服務(wù)器、工作站、存儲、信息安全等問題，都可以私信小編，小編將會安排專業(yè)的工程師免費為您答疑解惑。

總結(jié)

以上是生活随笔為你收集整理的adobe audition cs6 能打开mpcm文件吗?_Adobe全家桶出现这些漏洞，赶紧上官网下载补丁吧...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。