Adobe向Windows、macOS用户发出高危漏洞警告

Adobe 已经在其Adobe Prelude、Adobe Experience Manager和Adobe Lightroom应用程序中发现了高危的漏洞。如果这些被利用，这些漏洞可能导致任意代码执行的后果。

总的来说，Adobe公司在其预先安排的12月的安全更新中，发布了一个高危级别的漏洞和三个关键的高危的CVE相关的补丁。在11月发布补丁之后，该公司修复了Acrobat和Reader系列应用软件服务的Windows和macOS版本中的四个相关CVE的高危漏洞；所有的这些漏洞都有可能被利用，并且在受漏洞影响的产品上执行任意代码。

根据Adobe周二的安全更新，"Adobe没有意识到这些更新会解决的问题"。

本月Adobe发布的补丁包括Adobe Experience Manager (AEM)中的一个重要的跨站脚本(XSS)漏洞，该公司主要提供构建网站、移动应用和表单的内容管理解决方案等服务。如果漏洞被利用，该漏洞(CVE-2020-24445)可能允许恶意攻击者在受害者的浏览器上执行任意的JavaScript代码。

AEM CS、AEM 6.5.6.0及早期版本、AEM 6.4.8.2及早期版本和AEM 6.3.3.8及早期版本受此次漏洞影响；AEM用户可更新至以下特定的AEM版本。此次更新的优先级为2"，根据Adobe公司的说法，此次更新解决了 "历史上风险较高 "的产品的漏洞，但目前还没有找到已知的漏洞。

AEM中也存在一个属于blind ssrf漏洞的高危漏洞(CVE-2020-24444)。Blind SSRF漏洞被利用时，应用程序会被控制 ，向特定的URL发出后端的HTTP请求，但后端请求的响应并没有在应用程序的前端响应中显示。Adobe称，这个问题可能会导致敏感数据的泄露。

Adobe还解决了在Windows和macOS版Lightroom Classic中的一个高危漏洞，Lightroom Classic是Adobe公司的桌面应用程序，可以实现照片编辑。如果利用该漏洞，可能会造成用户在当前环境中进行任意代码执行。

该漏洞来自于Windows 10.0及更早版本的Lightroom Classic中的一个不受控制的搜索路径。不受控制的搜索路径是容易出问题的，当应用程序使用固定的搜索路径来查找资源时，就会出现这个问题--路径的一个或多个位置被恶意用户控制。在利用Lightroom Classic的这个漏洞(CVE-2020-24447)情况下，这个问题可能会使任意代码执行。

Adobe敦促Windows和MacOS平台的Lightroom Classic用户更新到10.1版本。Adobe称，该更新是 "优先级3 "的更新，这意味着它存在于那些 "不会被攻击者注意 "的产品中。

"Adobe建议管理员根据需要进行安装更新"，据报道称。

最后一个高危漏洞在Adobe Prelude中进行了修补，Adobe Prelude是Adobe的日志工具，主要用于标记带有元数据的媒体，用于搜索、管理后期制作的工作流程和影片素材生命周期。该漏洞是另一个不受控制的搜索路径（CVE-2020-24440）的漏洞，影响Adobe Prelude 9.0.1及更早的Windows版本。如果被利用，该漏洞可能会造成任意代码执行。

我们敦促用户在Adobe规定的 "优先级3 "的更新等级中更新到Windows和macOS的Adobe Prelude 9.0.2版本。

Adobe公司在过去几个月里修复了各种安全漏洞。10月，在向Windows、macOS、Linux和ChromeOS操作系统上的用户发出其Flash Player应用程序存在高危漏洞的警告后，Adobe在10个不同的软件包中发布了18个外带的安全补丁，其中包括对覆盖所有产品套件的高危漏洞的修复。Adobe Illustrator受到的影响最大。

参考及来源：https://threatpost.com/adobe-windows-macos-critical-severity-flaws/162007/