Adobe發布八月安全公告 修復多個高優先順序漏洞

近日，Adobe發布了8月安全公告，共有Adobe一系列產品的11個修復方案，其中包括Acrobat Reader的兩個關鍵補丁。

本次修復方案是基於上個月發布的112個漏洞，涉及軟體包括Flash Player, Acrobat Reader, Experience Manager和 Adobe Connect。

重要漏洞

這個月排名最靠前的更新是Adobe Acrobat Reader,包括Windows端和Mac OS端的兩個關鍵補丁。該漏洞的可能導致在當前用戶的上下文中執行任意代碼。

報告指出，CVE-201812808是一個越界寫入漏洞，而CVE-201812799是一個不可信的指針引用錯誤漏洞。

其影響產品包括Acrobat DC和Acrobat Reader DC 20180.112005及更早的版本，Acrobat 2017和Acrobat Reader 2017 正式版2017.0130996及更早的版本，Acrobat DC和Acrobat Reader DC 2015正式版 2015.0630434及更早的版本。Adobe表示，所有產品更新的優先順序為2，這意味著更新解決了產品當前風險較高的漏洞。

除此之外，Adobe在野外沒有發現任何漏洞，但是為了避免潛在的攻擊，供應商說用戶應該更新Acrobat DC and Reader DC到2013.0112858版本，更新Acrobat Reader 2017正式版到2017.011300 99版本，更新Acrobat DC 2015正式版到2015.0630448版本。

Flash Player

本次公告中還有五個其他重要漏洞的安全更新，分別是影響Adobe Flash Player Desktop Runtime（包括Windows端、Mac OS端和Linux端）的漏洞，谷歌瀏覽器的Adobe Flash Player（包括Windows端、MaOS端、Linux端和ChromiOS端）漏洞， Microsoft Edge和Internet Explorer 11 的Adobe Flash Player（對於Windows 10和Windows 8.1而言）漏洞——包括30.0.0.134及更早版本。

這些漏洞（指CVE-201812828，CVE-201812827，CVE-201812826，CVE-201812825和CVE-201812824）可能導致任意代碼執行——儘管在實際運行環境尚未發現可利用漏洞。Adobe表示，除了CVE-201812828，其他所有的都是信息泄露錯誤，這會導致遠程代碼執行的特殊許可權升級。

Adobe建議用戶把所有受影響的版本更新到30.0.0.154，所有這些都被列為優先順序2——除了Linux端的Adobe Flash Player Desktop Runtime，其優先順序為3，這意味著更新解決了產品中非歷史攻擊目標的漏洞。

其他修正

Adobe還解決了Adobe Experience Manager中的三個中級漏洞，版本6.0至6.4。

其中（CVE-201812806，CVE-201812807，CVE-2018－500）是一個反映跨站點腳本（CSS）的漏洞，可能導致敏感信息泄露，還有一個是繞過輸入驗證並允許未經授權的信息修改的漏洞，以及另一個也可能導致敏感信息泄露的CSS漏洞。

最後，該公司發布了一個Creative Cloud Desktop Application里重要的不安全庫載入漏洞（CVE-2018－500）補丁，它存在於安裝程序中，這會導致特權升級。受影響的版本包括用於Windows 的4.5.0.324及更早版本。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！