Adobe vừa phát hành bản cập nhật bảo mật tháng 12/2024, khắc phục hơn 160 lỗ hổng trên 16 phần mềm quan trọng như Reader, Illustrator, Photoshop, và Connect.

Các sản phẩm bị ảnh hưởng:

• Adobe Experience Manager:
  • 90 lỗ hổng chủ yếu có mức độ nghiêm trọng trung bình, cho phép thực thi mã tùy ý và bypass các tính năng bảo mật.
  • Lỗ hổng nghiêm trọng nhất là CVE-2024-43711, được đánh giá mức độ nghiêm trọng cao theo CVSS.
• Adobe Connect: 22 lỗ hổng bao gồm các lỗ hổng nghiêm trọng cho phép thực thi mã và leo thang đặc quyền.
• Adobe Animate: Hơn 10 lỗ hổng nghiêm trọng, tất cả đều có thể dẫn đến thực thi mã tùy ý.
• Adobe InDesign: 9 lỗ hổng bao gồm các lỗi thực thi mã tùy ý và gây từ chối dịch vụ (DoS).
• Substance 3D Modeler: 9 lỗ hổng có thể bị khai thác để thực thi mã tùy ý hoặc gây ra tình trạng DoS.
• Substance 3D Sampler: 3 lỗ hổng thực thi mã nghiêm trọng.
• Substance 3D Painter: 2 lỗ hổng thực thi mã.
• Acrobat và Reader: 6 lỗ hổng bao gồm lỗi thực thi mã tùy ý, từ chối dịch vụ (DoS), và rò rỉ bộ nhớ.
• Adobe Media Encoder: 4 lỗ hổng cho phép thực thi mã tùy ý và gây từ chối dịch vụ.
• Illustrator: 2 lỗ hổng thực thi mã nghiêm trọng.
• Các sản phẩm khác: FrameMaker, Premiere Pro, Bridge, Photoshop, PDFL SDK, và After Effects khắc phục 1 lỗ hổng nghiêm trọng, có thể dẫn đến thực thi mã.

Adobe nhấn mạnh rằng hiện tại họ chưa ghi nhận trường hợp khai thác thực tế nào liên quan đến các lỗ hổng này. Dựa trên mức độ ưu tiên của các lỗ hổng, công ty không dự đoán nguy cơ khai thác cao, nhưng vẫn khuyến nghị người dùng cập nhật bản vá ngay khi có thể để đảm bảo an toàn.

Nguồn: securityweek