Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe After Effects | APSB21-54

ID do boletim

Data de publicação

Prioridade

APSB21-54

20 de julho de 2021    

3

Resumo

A Adobe lançou uma atualização para o Adobe After Effects para Windows e macOS. Esta atualização processa diversas vulnerabilidades críticas e moderadas. A exploração bem-sucedida pode levar à execução de código arbitrário no contexto do usuário atual.           

Versões afetadas

Produto

Versão

Plataforma

Adobe After Effects

18.2.1 e versões anteriores       

Windows

Solução

A Adobe classifica essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem as suas instalações para a versão mais recente usando o mecanismo de atualização do aplicativo para desktop da Creative Cloud. Para mais informações, consulte esta página de ajuda.

Produto

Versão

Plataforma

Classificação de prioridade

Disponibilidade

Adobe After Effects

18.4

Windows e macOS

3

Adobe After Effects

17.7.1

Windows e macOS

3

Para ambientes gerenciados, os administradores de TI podem usar o Admin Console para implantar aplicativos do Creative Cloud para os usuários finais. Consulte esta página de ajuda para obter mais informações.

Observação:

O CVE-2021-35996 foi resolvido no Adobe After Effects versão 18.4 e posterior.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

CVSS base score 

Números CVE

Out-of-bounds Read (CWE-125)

Arbitrary file system read

Moderate

3.3

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

CVE-2021-36018

CVE-2021-36019

Access of Memory Location After End of Buffer

(CWE-788)

Arbitrary code execution 

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-36017

Out-of-bounds Write (CWE-787)

Arbitrary code execution 

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35993

CVE-2021-35994

Improper Input Validation

(CWE-20)

Arbitrary code execution 

Critical 

7.8

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35995

Access of Memory Location After End of Buffer

(CWE-788)

Arbitrary code execution 

Critical 

8.8

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CVE-2021-35996

Agradecimentos

A Adobe gostaria de agradecer os seguintes pesquisadores por ter relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:

  • CQY da equipe Topsec Alpha (yjdfy) (CVE-2021-35996)
  • Mat Powell (@mrpowell) e Joshua Smith (@kernelsmith) da Zero Day Initiative da Trend Micro (CVE-2021-35994, CVE-2021-35993)
  • Mat Powell da Zero Day Initiative da Trend Micro (CVE-2021-35995, CVE-2021-36017, CVE-2021-36018)  
  • Qiao Li da Baidu Security Lab trabalhando com a Zero Day Initiative da Trend Micro (CVE-2021-36019)

Revisões

03 de agosto de 2021: Atualização das confirmações para CVE-2021-35993

15 de outubro de 2021: linha adicionada para a versão N-1.




For more information, visit https://helpx.adobe.com/security.html, or email PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online