Boletim de segurança da Adobe

Pesquisar

Última atualização em 13 de fev de 2023

Atualizações de segurança disponíveis para o Adobe After Effects | APSB21-54

ID do boletim	Data de publicação	Prioridade
APSB21-54	20 de julho de 2021	3

Resumo

A Adobe lançou uma atualização para o Adobe After Effects para Windows e macOS. Esta atualização processa diversas vulnerabilidades críticas e moderadas. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.      

Versões afetadas

Produto	Versão	Plataforma
Adobe After Effects	18.2.1 e versões anteriores	Windows

Solução

A Adobe classifica essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem as suas instalações para a versão mais recente usando o mecanismo de atualização do aplicativo para desktop da Creative Cloud. Para mais informações, consulte esta página de ajuda.

Produto	Versão	Plataforma	Classificação de prioridade	Disponibilidade
Adobe After Effects	18.4	Windows e macOS	3	Centro de download
Adobe After Effects	17.7.1	Windows e macOS	3	Centro de download

Para ambientes gerenciados, os administradores de TI podem usar o Admin Console para implantar aplicativos do Creative Cloud para os usuários finais. Consulte esta página de ajuda para obter mais informações.

Observação:

O CVE-2021-35996 foi resolvido no Adobe After Effects versão 18.4 e posterior.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade	Impacto da vulnerabilidade	Severidade	CVSS base score	CVSS vector	Números CVE
Out-of-bounds Read (CWE-125)	Arbitrary file system read	Moderate	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	CVE-2021-36018 CVE-2021-36019
Access of Memory Location After End of Buffer (CWE-788)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-36017
Out-of-bounds Write (CWE-787)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35993 CVE-2021-35994
Improper Input Validation (CWE-20)	Arbitrary code execution	Critical	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35995
Access of Memory Location After End of Buffer (CWE-788)	Arbitrary code execution	Critical	8.8	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2021-35996

Agradecimentos

A Adobe gostaria de agradecer os seguintes pesquisadores por ter relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:

CQY da equipe Topsec Alpha (yjdfy) (CVE-2021-35996)
Mat Powell (@mrpowell) e Joshua Smith (@kernelsmith) da Zero Day Initiative da Trend Micro (CVE-2021-35994, CVE-2021-35993)
Mat Powell da Zero Day Initiative da Trend Micro (CVE-2021-35995, CVE-2021-36017, CVE-2021-36018) 
Qiao Li da Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-36019)

Revisões

03 de agosto de 2021: Atualização das confirmações para CVE-2021-35993

15 de outubro de 2021: linha adicionada para a versão N-1.

For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

Receba ajuda com mais rapidez e facilidade

Novo usuário?