Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe After Effects | APSB21-54

ID bulletinu

Datum zveřejnění

Priorita

ASPB21-54

20. července 2021    

3

Shrnutí

Společnost Adobe zveřejnila aktualizaci pro aplikaci Adobe After Effects pro systémy Windows a macOS. Tato aktualizace řeší několik chyb zabezpečení označených jako kritickéstředně závažné. Úspěšné zneužití by mohlo vést ke svévolnému spuštění kódu v kontextu aktuálního uživatele.           

Postižené verze

Produkt

Verze

Platforma

Adobe After Effects

18.2.1 a starší verze       

Windows

Řešení

Společnost Adobe těmto aktualizacím udělila následující prioritu a doporučuje uživatelům, aby si nainstalovali nejnovější verzi přes aktualizační mechanismus aplikace Creative Cloud pro počítače. Více informací najdete na této stránce nápovědy.

Produkt

Verze

Platforma

Úroveň priority

Dostupnost

Adobe After Effects

18.4

Windows a macOS

3

Adobe After Effects

17.7.1

Windows a macOS

3

Ve spravovaných prostředích mohou správci IT použít k nasazení aplikací Creative Cloud u koncových uživatelů nástroj Admin Console. Více informací najdete na této stránce nápovědy.

Poznámka:

Chyba CVE-2021-35996 je vyřešena v aplikaci Adobe After Effects verze 18.4 a novější.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Čísla CVE

Neoprávněné načtení (CWE-125)

Nahodilé čtení souborového systému

Střední

3,3

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-36018

CVE-2021-36019

Přístup k místu v paměti na konci vyrovnávací paměti

(CWE-788)

Svévolné spuštění kódu 

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36017

Zápis mimo hranice (CWE-787)

Svévolné spuštění kódu 

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35993

CVE-2021-35994

Nesprávné ověření vstupu

(CWE-20)

Svévolné spuštění kódu 

Kritická 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35995

Přístup k místu v paměti na konci vyrovnávací paměti

(CWE-788)

Svévolné spuštění kódu 

Kritická 

8.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35996

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:   

  • CQY z týmu Topsec Alpha (yjdfy) (CVE-2021-35996)
  • Mat Powell (@mrpowell) a Joshua Smith (@kernelsmith) z inciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-35994, CVE-2021-35993)
  • Mat Powell v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-35995, CVE-2021-36017, CVE-2021-36018)  
  • iao Li z laboratoře Baidu Security Lab spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro (CVE-2021-36019)

Revize

03. srpna 2021: přidány zásluhy za CVE-2021-35993

15. října 2021: Byl přidán řádek pro verzi N-1.




Další informace najdete na adrese https://helpx.adobe.com/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online