Adobe警告Windows，macOS用户存在高风险缺陷

Adobe修复了Adobe Prelude，Adobe Experience Manager和Adobe Lightroom中的三个严重性缺陷。

Adobe Systems已在其Adobe Prelude，Adobe Experience Manager和Adobe Lightroom应用程序中消除了严重性漏洞。如果被利用，则严重的漏洞可能导致任意代码执行。

总体而言，Adobe在其定期计划的12月安全更新中发布了与一个重要等级CVE和三个严重等级CVE相关的缺陷的补丁程序。这些更新是在该公司11月发布的补丁之后进行的，该补丁修复了与Acrobat和Reader应用程序系列服务的Windows和macOS版本中的四个CVE相关的严重性缺陷。所有这些都可以用来对受影响的产品执行任意代码。

根据Adobe星期二的安全更新，“对于这些更新中解决的任何问题，Adobe都没有发现任何野外攻击。”

本月的Adobe补丁摘要包括Adobe Experience Manager（AEM）中的一个严重的跨站点脚本（XSS）漏洞，该公司是用于构建网站，移动应用程序和表单的内容管理解决方案。如果被利用，此漏洞（CVE-2020-24445）可能允许不良行为者在受害者的浏览器上执行任意JavaScript。

AEM CS，AEM 6.5.6.0和更早版本，AEM 6.4.8.2和更早版本以及AEM 6.3.3.8和更早版本受到影响; AEM用户可以更新到下面的固定AEM版本。根据Adobe的说法，此更新是“优先级2”，它可以解决“历来风险较高”产品的缺陷，但目前尚无已知漏洞。

AEM（CVE-2020-24444）中也存在一个重要级别的漏洞，该漏洞源自服务器端的盲目伪造请求（SSRF）。当可以操纵应用程序向提供的URL发出后端HTTP请求，但是在应用程序的前端响应中未返回来自后端请求的响应时，就会发生盲SSRF。据Adobe说，此问题可能导致敏感数据泄露。

Adobe在其适用于Windows和macOS的Lightroom Classic中还解决了一个严重漏洞，如果利用该漏洞，则可以在当前用户的上下文中执行任意代码。Lightroom Classic是Adobe的桌面应用程序，支持照片编辑。

该缺陷源自Lightroom Classic 10.0版和Windows早期版本中不受控制的搜索路径元素。一个不受控制的搜索路径是一个弱点当应用程序使用的固定搜索路径寻找资源时发生-但该路径的一个或多个位置是下恶意用户的控制。对于Lightroom Classic中的此漏洞（CVE-2020-24447），该问题可能导致任意代码执行。

Adobe敦促Windows和MacOS平台上的Lightroom Classic用户更新至版本10.1。根据Adobe的说法，该更新是“优先级3”更新，这意味着该产品存在于“历来不是攻击者的目标”产品中。

根据更新，“ Adobe建议管理员自行决定安装更新”。

最后一个严重漏洞已在Adobe Prelude中修复，Adobe Prelude是Adobe的日志记录工具，用于使用搜索，后期制作工作流和素材生命周期管理的元数据标记媒体。此漏洞是另一个不受控制的搜索路径（CVE-2020-24440），会影响Windows的Adobe Prelude 9.0.1版和更早版本。如果被利用，则该漏洞可能导致任意代码执行。

敦促用户将Windows和macOS的Adobe Prelude版本9.0.2更新为Adobe规定的“优先级3”更新等级。

在过去的几个月中，Adobe Systems处理了各种安全问题。10月，在警告 Flash Player应用程序中存在针对Windows，macOS，Linux和ChromeOS操作系统上的用户的严重漏洞之后，Adobe 在10个不同的软件包中发布了18个带外安全补丁，其中包括针对一些严重漏洞的修复程序整个产品套件中。Adobe Illustrator遭受的打击最大。

本文始发于微信公众号（Ots安全）：Adobe警告Windows，macOS用户存在高风险缺陷