Fstoppers
Na Adobe's reparatie van een grootse 112 kwetsbaarheden in zijn productreekspatch van juli, heeft het bedrijf zojuist zijn productreekspatch van augustus uitgebracht die (slechts) 11 fouten in zijn Flash Player en Acrobat DC- en Reader-software oplost. Hoewel 11 fixes misschien niet veel lijken, bevat deze release twee zeer kritieke patches voor de Acrobat- en Reader-software en andere belangrijke updates die ook zo snel mogelijk moeten worden geïmplementeerd.
De meest zorgwekkende gebreken die in deze laatste update zijn opgelost, liggen in Adobe Acrobat en Reader voor Windows en MacOS. De twee kwetsbaarheden worden CVE-2018-12808 en CVE-2018-12799 genoemd. Volgens de beveiliging van Adobe adviserend veroorzaakt de eerste kwetsbaarheid het uitvoeren van willekeurige code in de context van de huidige gebruiker door een fout in het schrijven buiten het bereik te veroorzaken. Dit laatste veroorzaakt het uitvoeren van willekeurige code in de context van de huidige gebruiker door een niet-vertrouwde kwetsbaarheid voor het verwijderen van verwijzingen.
Deze twee kritieke beveiligingsproblemen zijn van invloed op de Acrobat DC- en Acrobat Reader DC-versies 2018.011.20055 en eerder, de Acrobat 2017 en AR Classic 2017-versies 2017.011.30096 en eerder, en de Acrobat DC en AR DC Classic 2015-versies 2015.006.30434 en eerder. Updates voor de respectieve versies van de producten zijn vrijgegeven op de website van Adobe in de vorm van het Adobe August Update-pakket.
Afgezien van deze 2 kritieke kwetsbaarheden, blijven er nog 9 bugfixes over. Vijf van deze bugfixes zijn voor Adobe Flash Player en 4 zijn diverse andere updates. De vijf Adobe Flash Player-fixes verhelpen de kwetsbaarheden CVE-2018-12828, CVE-2018-12827, CVE-2018-12826, CVE-2018-12825 en CVE-2018-12824, die allemaal het risico van uitvoering van externe code inhouden door de escalatiefout van het privilege. Deze fixes kregen ook een hoge waardering (belangrijk) ondanks het feit dat er nog geen misbruik van is gemaakt.
De resterende kwetsbaarheden die in de software zijn opgelost, waren CVE-2018-12806, CVE-2018-12807 en CVE-2018-5005. Deze kwetsbaarheden zijn van invloed op de Adobe Experience Managers-versies 6.0 tot 6.4. Deze kwetsbaarheden werden gemarkeerd om de autorisatie te omzeilen om het lekken van gevoelige informatie mogelijk te maken.
De laatste patch die werd uitgebracht, was voor de kwetsbaarheid van het laden van de bibliotheek in de Creative Cloud Desktop-applicatie. Deze kwetsbaarheid bleek te bestaan in het installatieprogramma en kreeg het label CVE-2018-5003. Het is van invloed op versies 4.5.0.324 en eerder van de software voor Windows en staat escalatie van bevoegdheden en misbruik toe.
