Adoben tietoturvatiedote

Adobe After Effectsin tietoturvapäivitykset | APSB21-33

Tiedotteen tunnus

Julkaisupäivä

Prioriteetti

APSB21-33

11. toukokuuta 2021

3

Yhteenveto

Adobe on julkaissut päivityksen Adobe After Effects -ohjelmistoon Windows- ja macOS-käyttöjärjestelmille. Tämä päivitys ratkaisee useita kriittisiä ja tärkeitä haavoittuvuus. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen nykyisen käyttäjän kontekstissa.    

Versiot

Tuote

Versio

Ympäristö

Adobe After Effects

18.1 ja aiemmat versiot

Windows

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon Creative Cloud -tietokonesovelluksen päivitysmekanismin kautta.  Lisätietoja on tällä ohjesivulla.

Tuote

Versio

Ympäristö

Prioriteettiluokitus

Saatavuus

Adobe After Effects

18.2

Windows ja macOS

3

Adobe After Effects

17.7.1

Windows ja macOS

3

Hallinnoiduissa ympäristöissä IT-järjestelmänvalvojat voivat ottaa loppukäyttäjien Creative Cloud -sovellukset käyttöön Admin Console kautta. Lisätietoja on tällä ohjesivulla.

Huomautus:

CVE-2021-28586 ja CVE-2021-28587 ratkaistaan Adobe After Effectsin versiolla 18.1 ja uudempi.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka

Haavoittuvuuden vaikutus

Vakavuus

CVE-numerot

Käyttöjärjestelmäkomentojen syöttö

Mielivaltaisen koodin suoritus     

Kriittinen  

CVE-2021-28571

Rajat ylittävä lukeminen

Mielivaltainen tiedostojärjestelmän luku

Tärkeä

CVE-2021-28587

Rajat ylittävä kirjoittaminen

Mielivaltaisen koodin suoritus     

Kriittinen  

CVE-2021-28586

Hallitsemattoman hakupolun elementti

Mielivaltaisen koodin suoritus     

Kriittinen  

CVE-2021-28570

Kiitokset

Adobe haluaa kiittää seuraavia henkilöitä, jotka ilmoittivat edellä mainituista ongelmista ja auttoivat Adobea sen asiakkaiden suojaamisessa.

  • Taylor Leach (CVE-2021-28571)
  • Mat Powell (@mrpowell) ja Joshua Smith (@kernelsmith), Trend Micro Zero Day Initiative -ohjelma (-28586, CVE-2021-, CVE-2021-28587) 
  • Hhjjyy ja Yongjun Liu, nsfocusin tietoturvatiimi (CVE-2021-28570)

Versiot

12.5.2021: Lisätty tietoja haavoittuvuuksista CVE-2021-28586 ja CVE-2021-28587

1.9.2021: Lisätty tietoja haavoittuvuudesta CVE-2021-28570.

6. lokakuuta 2021: Lisätty ylimääräinen ratkaisurivi N-1-versiolle.



Adobe-logo

Kirjaudu sisään tiliisi