Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe After Effects | APSB21-54

Bulletin-ID

Dato publisert

Prioritet

ASPB21-54

20. juli 2021

3

Sammendrag

Adobe har lansert en oppdatering for Adobe After Effects for Windows og macOS.Denne oppdateringen løser flere kritiske og moderate sårbarheter. Vellykket utnytting kan føre til kjøring av vilkårlig kode i konteksten til gjeldende bruker.           

Berørte versjoner

Produkt

Versjon

Plattform

Adobe After Effects

18.2.1 og tidligere versjoner       

Windows

Løsning

Adobe kategoriserer disse oppdateringene med følgende Prioritet Klassifiseringer og anbefaler at brukerne oppdaterer installasjonene til de nyeste versjonene via oppdateringsmekanismen i Creative Cloud-skrivebordprogrammet. Hvis du vil ha mer informasjon, kan du se denne hjelpesiden.

Produkt

Versjon

Plattform

Prioritet Klassifisering

Tilgjengelighet

Adobe After Effects

18.4

Windows og macOS

3

Adobe After Effects

17.7.1

Windows og macOS

3

I administrerte miljøer kan IT-administratorer bruke Admin Console til å distribuere Creative Cloud-applikasjoner til sluttbrukere. Se denne hjelpesiden for mer informasjon.

Merk:

CVE-2021-35996 er løst i Adobe After Effects versjon 18.4 og nyere.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-numre

Lesing utenfor område (CWE-125)

Vilkårlig lesing av filsystem

Moderat

3.3

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-36018

CVE-2021-36019

Tilgang til minnested etter slutt på buffer

(CWE-788)

Kjøring av vilkårlig kode 

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36017

Skriving utenfor område (CWE-787)

Kjøring av vilkårlig kode 

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35993

CVE-2021-35994

Feil inndatavalidering

(CWE-20)

Kjøring av vilkårlig kode 

Kritisk 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35995

Tilgang til minnested etter slutt på buffer

(CWE-788)

Kjøring av vilkårlig kode 

Kritisk 

8.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35996

Takk

Adobe takker følgende forskere for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:   

  • CQY hos Topsec Alpha Team (yjdfy) (CVE-2021-35996)
  • Mat Powell (@mrpowell) og Joshua Smith (@kernelsmith) hos Trend Micro Zero Day Initiative (CVE-2021-35994, CVE-2021-35993)
  • Mat Powell fra Trend Micro Zero Day Initiative (CVE-2021-35995, CVE-2021-36017, CVE-2021-36018)
  • Qiao Li fra Baidu Security Lab i samarbeid med Trend Micro Zero Day Initiative (CVE-2021-36019)

Revisjoner

3. august 2021: Oppdatering av avsnittet Takk for CVE-2021-35993

15. oktober 2021: Lag til rad for N-1-versjonen.




For mer informasjon kan du besøke https://helpx.adobe.com/security.html eller sende e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet