設(shè)計師們要注意了：Adobe Illustrator和After Effects爆出多個嚴(yán)重漏洞，可導(dǎo)致代碼任意執(zhí)行

時間：2020-07-08 11:32:01

關(guān)鍵字： adobe 云安全漏洞

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀]受影響的平臺：Windows 受影響的版本：Adobe Illustrator 2020版本24.1.2和更早版本，Adobe After Effects版本17.1和更早版本影響：導(dǎo)致任意代碼執(zhí)

受影響的平臺：Windows

受影響的版本：Adobe Illustrator 2020版本24.1.2和更早版本，Adobe After Effects版本17.1和更早版本

影響：導(dǎo)致任意代碼執(zhí)行的多個漏洞

嚴(yán)重級別：嚴(yán)重

6月16日，Adobe發(fā)布了帶外（out-of-band）安全更新，以解決多個產(chǎn)品中的漏洞。其中有七個是由FortiGuard Labs的研究人員分別在Illustrator 和 After Effects 解決方案中發(fā)現(xiàn)的嚴(yán)重漏洞。

Illustrator是由Adobe Systems針對macOS和Windows開發(fā)并發(fā)布的矢量圖形編輯器。在Adobe Illustrator中發(fā)現(xiàn)的五個漏洞，代號分別為CVE-2020-9639，CVE-2020-9640，CVE-2020-9641，CVE-2020-9642和CVE-2020-9575。

After Effects是Adobe Systems針對macOS和Windows開發(fā)和發(fā)布的視頻編輯應(yīng)用程序。在Adobe After Effects中發(fā)現(xiàn)的兩個漏洞，代號分別為CVE-2020-9637和CVE-2020-9638。

Illustrator 漏洞

CVE-2020-9575

在Adobe Illustrator的SVG文件的解碼中存在此內(nèi)存損壞漏洞。具體來說，此漏洞是由格式錯誤的SVG文件引起的，該文件由于邊界檢查不當(dāng)而導(dǎo)致超出范圍的內(nèi)存訪問。SVG插件中存在此特定漏洞。

遠程攻擊者可能能夠通過精心制作的SVG文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

CVE-2020-9642

Adobe Illustrator中DWG文件的解碼中存在此堆棧溢出漏洞。具體來說，此漏洞是由格式錯誤的DWG文件引起的，該文件由于不正確的邊界檢查而導(dǎo)致堆棧溢出。特定漏洞存在于庫TD_Db_3.05src_10.dll中，該庫是在Illustrator中解析DWG格式文件的插件。

遠程攻擊者可能能夠通過精心制作的DWG文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

CVE-2020-9641

在Adobe Illustrator中DWG文件的解碼中存在此內(nèi)存損壞漏洞。具體來說，此漏洞是由格式錯誤的DWG文件引起的，該文件由于不正確的邊界檢查而導(dǎo)致超出范圍的內(nèi)存訪問。特定漏洞存在于庫TD_Db_3.05src_10.dll中，該庫是在Illustrator中解析DWG格式文件的插件。

遠程攻擊者可能能夠通過精心制作的DWG文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

CVE-2020-9640

遠程攻擊者可能能夠通過精心制作的DWG文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

CVE-2020-9639

遠程攻擊者可能能夠通過精心制作的DWG文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

After Effects 漏洞

CVE-2020-9637

Adobe After Effects中的AEPX文件的解碼中存在此堆溢出漏洞。具體來說，此漏洞是由格式不正確的AEPX文件引起的，該文件由于邊界檢查不當(dāng)而導(dǎo)致堆溢出。AfterFXLib模塊中存在特定漏洞。

遠程攻擊者可能能夠通過精心制作的AEPX文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

CVE-2020-9638

遠程攻擊者可能能夠通過精心制作的AEPX文件利用此漏洞在應(yīng)用程序的上下文中執(zhí)行任意代碼。

升級修復(fù)