Tiedotteen tunnus
Päivitetty viimeksi
21. maaliskuuta 2025
Adobe InDesignin tietoturvapäivitys saatavilla | APSB25-19
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB25-19 |
11. maaliskuuta 2025 |
3 |
Yhteenveto
Adobe on julkaissut tietoturvapäivityksen Adobe InDesignille. Päivitys korjaa kriittisiä ja tärkeitä haavoittuvuuksia. Jos haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa, muistivuotoon mielivaltaisen koodin suorittamiseen ja sovelluksen palvelunestoon.
Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.
Versiot
|
Tuote |
Versio, jota haavoittuvuus koskee |
Ympäristö |
|
Adobe InDesign |
ID20.1 ja aiemmat versiot |
Windows ja macOS |
|
Adobe InDesign |
ID19.5.2 ja aikaisempi versio. |
Windows ja macOS |
Ratkaisu
Adobe luokittelee nämä päivitykset seuraavalla prioriteettiluokituksella ja suosittelee käyttäjiä päivittämään ohjelmistoasennuksensa Creative Cloud -tietokonesovelluksen päivitysohjelmalla tai valitsemalla InDesignin Ohje-valikosta ”Päivitetään”. Lisätietoja on tällä ohjesivulla.
|
Tuote |
Päivitetty versio |
Ympäristö |
Prioriteettiluokitus |
|
Adobe InDesign |
ID20.2 |
Windows ja macOS |
3 |
|
Adobe InDesign |
ID19.5.3 |
Windows ja macOS
|
3 |
Hallittujen ympäristöjen IT-järjestelmänvalvojat voivat luoda käyttöönottopaketit Creative Cloud Packagerin avulla. Lisätietoja on tällä ohjesivulla.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
|---|---|---|---|---|---|
|
Rajat ylittävä kirjoittaminen (CWE-787) |
Muistivuoto |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-24452 |
|
Kekopohjainen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-24453 |
|
Rajat ylittävä kirjoittaminen (CWE-787) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-27166 |
|
Kekopohjainen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-27171 |
|
Rajat ylittävä kirjoittaminen (CWE-787) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-27175 |
|
Kekopohjainen puskurin ylivuoto (CWE-122) |
Mielivaltaisen koodin suoritus |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-27177 |
|
Rajat ylittävä kirjoittaminen (CWE-787) |
Muistivuoto |
Kriittinen |
7.8 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
CVE-2025-27178 |
|
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä |
5.5 |
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2025-27176 |
|
Tyhjäarvo-osoittimen viittauksen poisto (CWE-476) |
Sovelluksen palvelunesto |
Tärkeä |
5.5 |
: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
CVE-2025-27179 |
Kiitokset
Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
- Francis Provencher (prl) – CVE-2025-24452, CVE-2025-24453, CVE-2025-27166, CVE-2025-27171, CVE-2025-27175, CVE-2025-27176, CVE-2025-27177, CVE-2025-27178, CVE-2025-27179
HUOMAUTUS: Adobella on HackerOnessa julkinen buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, tutustu ohjelmaan täällä: https://hackerone.com/adobe.
For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com
