Bản cập nhật tháng 7 của Adobe vá các lỗ hổng quan trọng trong nhiều sản phẩm

Adobe mới đây đã tung ra bản cập nhật bảo mật ngày thứ Ba cho Tháng 7/2019. Số lượng các lỗ hổng được vá trong lần này ít hơn tương đối so với những lần trước đó.



Ngoài ra, các bản cập nhật trong tháng này không tập trung
vào các sản phẩm Adobe phổ biến như Flash Player hoặc Reader mà chủ yếu nhắm vào
Adobe Experience Manager, Adobe Bridge CC và Dreamweaver. Dưới đây là bản tóm tắt
nhanh về bản vá bảo mật tháng 7 của Adobe.




Nhiều lỗ hổng được vá trong Adobe Experience Manager



Với các bản cập nhật tháng 7, Adobe đã vá ba lỗ hổng khác
nhau trong Adobe Experience Manager (Trình quản lý trải nghiệm Adobe), bao
gồm hai lỗ hổng “Quan trọng” và một lỗ hổng đơn mức độ nghiêm trọng trung bình .




Trong tư vấn bảo mật được đưa ra, Adobe cho biết khi các lỗ
hổng kể trên bị khai thác có thể dẫn đến tình trạng các thông tin nhạy cảm bị
tiết lộ.



Hai lỗ hổng bảo mật “Quan trọng” được đề cập bao gồm lỗ hổng
yêu cầu giả mạo chéo trang ( cross-site request forgery – CVE-2019-7953)
và kịch bản lưu trữ chéo trang (stored cross-site scripting – CVE-2019-7954).




Các lỗ hổng mức độ nghiêm trọng vừa phải bao gồm lỗ hổng phản
xạ kịch bản chéo trang ( reflected cross-site scripting – CVE-2019-7955).
Nhà nghiên cứu Lorenzo Porondini đã báo cáo chi tiết lỗ hổng này cho Adobe.  



Các phiên bản Adobe Experience Manager bị ảnh hưởng bởi các
lỗ hổng này bao gồm 6.0, 6.1, 6.2, 6.3 và 6.4. Adobe đã vá tất cả các lỗ hổng
này trong các phiên bản AEM tương ứng 6.3, 6.4 và 6.5.




Các sửa lỗi bảo mật khác trong bản vá tháng 7 của Adobe



Ngoài các cập nhật sửa lỗi trong Adobe Experience Manager, bản
vá bảo mật tháng 7 của Adobe cũng giải quyết một số lỗi đơn lẻ trong Adobe Bridge
CC và Adobe Dreamweaver.



Lỗ hổng trong Adobe Bridge CC



Liên quan đến Adobe Bridge CC, phía công ty đã cung cấp bản vá
cho một lỗ hổng đọc ngoại vi quan trọng ( out-of-bounds read – CVE-2019-7963)
có thể dẫn đến việc tiết lộ thông tin người dùng.



Như được nêu trong tư vấn bảo mật của Adobe, đây là một lỗ hổng bảo mật xảy ra khi phân tích hình ảnh SVG không đúng định dạng. Điều này có thể gây ra lỗi đọc ngoại vi dẫn đến tình trạng tiết lộ thông tin (địa chỉ bộ nhớ) trong bối cảnh của người dùng hiện tại.



Lỗ hổng này đặc biệt ảnh hưởng đến Adobe Bridge CC phiên bản
9.0.2 trở về trước.



Adobe đã cung cấp bản sửa lỗi cho lỗ hổng này trong phiên bản
Adobe CC 9.1. Phía công ty cũng cho biết đã nhận được báo cáo thông tin về lỗ hổng
từ nhà nghiên cứu Francis Provencher, một thành viên của nhóm Sáng kiến Zero
Day của Trend Micro.  



Lỗ hổng trong Adobe Dreamweaver



Trong khi đó, lỗ hổng trong Adobe Dreamweaver là một lỗi quan
trọng liên quan tới tải thư viện không an toàn (DLL hijacking) ảnh hưởng
đến các phiên bản cài đặt tải xuống Adobe Dreamweaverdirect cả các phiên bản trước
đó  lẫn 19.0 và 18.0.



Lỗ hổng quan trọng này  mang số hiệu CVE-2019-7956 có thể dẫn đến tình
trạng leo thang đặc quyền khi bị khai thác.



Adobe đã sửa lỗi này với việc phát hành Adobe
Dreamweaverdirect cài đặt tải xuống phiên bản 2019 và 2018. Bên cạnh đó, Adobe
cũng cảm ơn nhà nghiên cứu Honc trong tư vấn bảo mật của công ty vì đã báo cáo sớm
vấn đề cho họ.



Người dùng của các sản phẩm Adobe tương ứng được khuyến nghị nên cập nhật lên các phiên bản mới nhất càng sớm càng tốt để tránh khỏi các nguy cơ tiềm tàng đến từ các lỗ hổng đang tồn tại.



Bản cập nhật bảo mật tháng này của Adobe được đánh giá là không chứa bản vá lỗi cho bất cứ lỗ hổng bảo mật “sống còn” nào, không giống như các bản cập nhật được phát hành vào tháng 5 và tháng 6 trước đó.



LHN
The post Bản cập nhật tháng 7 của Adobe vá các lỗ hổng quan trọng trong nhiều sản phẩm appeared first on SecurityDaily .