Adoben tietoturvatiedote

Hae

Päivitetty viimeksi 26. elokuuta 2024

Adobe InDesignin tietoturvapäivitys | APSB24-56

Tiedotteen tunnus	Julkaisupäivä	Prioriteetti
APSB24-56	13. elokuuta 2024	3

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe InDesigniin.  Tämä päivitys ratkaisee kriittisiä, tärkeitä ja kohtalaisia haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suoritukseen, muistivuotoon ja sovelluksen palvelunestoon.

Versiot

Tuote	Versio, jota haavoittuvuus koskee	Ympäristö
Adobe InDesign	ID19.4 ja aiemmat versiot.	Windows ja macOS
Adobe InDesign	ID18.5.2 ja aiemmat versiot	Windows ja macOS

Ratkaisu

Adobe luokittelee nämä päivitykset seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään ohjelmistoasennuksensa Creative Cloud -tietokonesovelluksen päivitysohjelmalla tai valitsemalla InDesignin Ohje-valikosta ”Päivitetään”. Lisätietoja on tällä ohjesivulla.

Tuote	Päivitetty versio	Ympäristö	Prioriteettiluokitus
Adobe InDesign	ID19.5	Windows ja macOS	3
Adobe InDesign	ID18.5.3	Windows ja macOS	3

Hallittujen ympäristöjen IT-järjestelmänvalvojat voivat luoda käyttöönottopaketit Creative Cloud Packagerin avulla. Lisätietoja on tällä ohjesivulla.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka	Haavoittuvuuden vaikutus	Vakavuus	CVSS-peruspisteet	CVSS-vektori	CVE-numero
Pinopohjainen puskurin ylivuoto (CWE-121)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-39389
Rajat ylittävä kirjoittaminen (CWE-787)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-39390
Rajat ylittävä kirjoittaminen (CWE-787)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-39391
Pinopohjainen puskurin ylivuoto (CWE-121)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-41852
Kekopohjainen puskurin ylivuoto (CWE-122)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-41853
Rajat ylittävä lukeminen (CWE-125)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-39393
Rajat ylittävä kirjoittaminen (CWE-787)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-39394
Kekopohjainen puskurin ylivuoto (CWE-122)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-41850
Kokonaisluvun ylivuoto tai rivitys (CWE-190)	Mielivaltaisen koodin suoritus	Kriittinen	7.8	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H	CVE-2024-41851
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)	Sovelluksen palvelunesto	Tärkeä	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H	CVE-2024-39395
Rajat ylittävä lukeminen (CWE-125)	Muistivuoto	Tärkeä	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-34127
Rajat ylittävä lukeminen (CWE-125)	Muistivuoto	Tärkeä	5.5	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N	CVE-2024-41854
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476)	Sovelluksen palvelunesto	Kohtalainen	3.3	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L	CVE-2024-41866

Kiitokset

Adobe haluaa kiittää seuraavaa tutkijaa tästä ongelmasta ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

Francis Provencher (prl) – CVE-2024-34127, CVE-2024-39389, CVE-2024-39390, CVE-2024-39391, CVE-2024-39393, CVE-2024-39394, CVE-2024-39395, CVE-2024-41850, CVE-2024-41852, CVE-2024-41853, CVE-2024-41854, CVE-2024-41866
yjdfy – CVE-2024-41851

HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.

Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com

Pyydä apua nopeammin ja helpommin

Oletko uusi käyttäjä?