Adobe ได้ออกเเพตซ์เเก้ไขความปลอดภัยฉุกเฉินเพื่อแก้ไขปัญหาร้ายแรงใน Magento แพลตฟอร์มจำนวน 9 รายการ โดยช่องโหว่ที่ทำการเเก้ไขนั้นจะกระทบกับ Magento Commerce และ Magento Open Source เวอร์ชัน 2.3.5-p1, 2.4.0 และรุ่นก่อนหน้า

ช่องโหว่ที่สำคัญใน Adobe Magento และได้รับการเเก้ไขแล้วถูกติดตามด้วยรหัส CVE-2020-24407 และ CVE-2020-24400 เป็นช่องโหว่การอัปโหลดไฟล์ที่จะอนุญาตให้มีการ bypass ลิตส์รายการและช่องโหว่ SQL injection ซึ่งช่องโหว่จะสามารถนำไปสู่การเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตหรือการเข้าถึงฐานข้อมูลแบบ read/write ได้โดยไม่ได้รับอนุญาต อย่างไรก็ตามช่องโหว่ทั้งสองผู้โจมตีต้องได้ได้รับสิทธิ์ระดับผู้ดูแลระบบอยู่ก่อนแล้วจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้

นอจากช่องโหว่ที่สำคัญทั้งสองแล้ว Adobe ยังได้ทำการเเก้ไขช่องโหว่ CVE-2020-24402 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถจัดการและแก้ไขรายชื่อลูกค้า, CVE-2020-24408 cross-site scripting (XSS), CVE-2020-24401 ช่องโหว่ในการใช้ session, CVE-2020-24404 ช่องโหว่ที่สามารถเเก้ไขหน้าเพจ Magento CMS โดยไม่ได้รับอนุญาต, CVE-2020-24405 และ CVE-2020-24403 ซึ่งเป็นข้อบกพร่องการเข้าถึง resource ที่ถูกจำกัด และช่องโหว่ CVE-2020-24406 ช่องโหว่การเปิดเผยข้อมูลที่ละเอียดอ่อน

ทั้งนี้ผู้ใช้และผู้ดูแลระบบที่ใช้งาน Magento Commerce และ Magento Open Source ควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: zdnet.

 

Adobe ได้เปิดตัวแพตซ์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ “Critical” จำนวน 18 รายการที่อาจทำให้ผู้โจมตีสามารถรันโค้ดได้โดยไม่ได้รับอนุญาตบนอุปกรณ์ที่ใช้ Adobe InDesign, Adobe Framemaker และ Adobe Experience Manager เวอร์ชันที่มีช่องโหว่ โดยช่องโหว่ที่มีความสำคัญมีดังนี้

ช่องโหว่สำหรับผลิตภัณฑ์ Adobe InDesign ได้รับการเเก้ไขช่องโหว่จำนวน 5 รายการถูกติดตามด้วยรหัส CVE-2020-9727, CVE-2020-9728, CVE-2020-9729, CVE-2020-9730 และ CVE-2020-9731ช่องโหว่เป็นประเภท Memory Corruption ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกรทบกับ Adobe InDesign สำหรับ macOS ผู้ใช้ Adobe InDesign สำหรับ macOS ควรทำการอัปเดตเป็นเวอร์ชัน 15.1.2 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Framemaker ได้รับการเเก้ไขช่องโหว่จำนวน 2 รายการถูกติดตามด้วยรหัส CVE-2020-9726 และ CVE-2020-9725 ช่องโหว่เป็นประเภท Out-of-Bounds Read และ Stack-based Buffer Overflow ช่องโหว่จะทำให้ผู้โจมตีสามารถโค้ดได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีจะส่งผลกระทบกับ Adobe Framemaker สำหรับ Windows ผู้ใช้ควรทำการอัปเดต Adobe Framemaker ให้เป็นเวอร์ชัน 2019.0.7 เพื่อแก้ไขช่องโหว่นี้
ช่องโหว่สำหรับผลิตภัณฑ์ Adobe Experience Manager ได้รับการเเก้ไขช่องโหว่จำนวน 11 รายการถูกติดตามด้วยรหัส CVE-2020-9732, CVE-2020-9733, CVE-2020-9734, CVE-2020-9735, CVE-2020-9736, CVE-2020-9737, CVE-2020-9738, CVE-2020-9740, CVE-2020-9741, CVE-2020-9742 และ CVE-2020-9743 ช่องโหว่เป็นประเภท Cross-Site Scripting (XSS) ช่องโหว่จะทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ในเบราว์เซอร์และอาจนำไปสู่การเปิดเผยข้อมูลที่สำคัยได้ ช่องโหว่จะส่งผลกระทบกับผู้ติดตั้ง Adobe Experience Manager ก่อนเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และผู้ใช้ AEM Forms add-on ผู้ใช้ควรทำการอัปเดตเเพตซ์ AEM เป็นเวอร์ชั่น 6.5.6.0 หรือ 6.4.8.2 และทำการอัปเดตเเพตซ์ AEM Forms add-on Service Pack เพื่อทำการเเก้ไขช่องโหว่ดังกล่าว

ทั้งนี้ Adobe ได้ออกคำเเนะนำให้ผู้ใช้ควรทำการอัปเดตผลิตภัณฑ์ของ Adobe ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่เป็นช่องทางในการโจมตีระบบของผู้ใช้

ที่มา: bleepingcomputer.

บริษัท Adobe System ออกอัพเดตแพตซ์รักษาความปลอดภัยเกี่ยวกับการเรียกใช้โค้ดบนผู้ใช้งาน Windows และช่องโหว่การเปิดเผยข้อมูลบนผู้ใช้ Android

Adobe ได้อัพเดตช่องโหว่ความปลอดภัยที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบปฏิบัติการ Windows ทั้ง 12 ข้อใน Adobe Photoshop, Adobe Prelude และ Adobe Bridge
สำหรับผู้ใช้งาน Windows ที่ไม่ใช่บัญชีผู้ดูแลระบบผลกระทบอาจไม่ร้ายแรง นอกจากจะเจอช่องโหว่อื่นที่สามารถยกระดับสิทธ์ โดยมีรายละเอียดดังนี้

Adobe Bridge มีอัพเดตความปลอดภัย APSB20-44 ที่อาจอนุญาตให้สามารถใช้โค้ดจากระยะไกลด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ Windows ควรติดตั้ง Adobe Bridge 10.1.1 เพื่อแก้ไขช่องโหว่
Adobe Photoshop CC 2019 และ Photoshop CC มีอัพเดต APSB20-45เป็นช่องโหว่การ Remote เพื่อเข้ามาแก้ไข และเขียนไฟล์ ผู้ใช้ควรติดตั้ง Photoshop CC 2019 20.0.10 หรือ Photoshop CC 21.2.1 เพื่อแก้ไขช่องโหว่ดังกล่าว
Adobe Prelude มีอัพเดต APSB20-46 Security การเรียกใช้โค้ดด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ควรติดตั้ง Adobe Prelude 9.01 เพื่อเป็นการอัพเดตแพทซ์ช่องโหว่
Adobe Reader Mobile มีอัพเดต APSB20-50 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญของผู้ใช้งาน ผู้ใช้ Android ควรติดตั้ง Adobe Reader Mobile 20.3 เพื่อแก้ไขช่องโหว่นี้

ที่มา : bleepingcomputer

Adobe ได้ทำการเปิดตัวเเพตซ์อัปเดตความปลอดภัยเพื่อเเก้ไขช่องโหว่ Code Execution ที่มีผลกระทบต่อ Adobe Magento Commerce และ Adobe Magento Open Source โดยรายละเอียดช่องโหว่ที่ได้รับเเก้ไขมีดังนี้

ช่องโหว่ CVE-2020-9689 เป็นช่องโหว่ Path Traversal ช่องโหว่จะช่วยให้ผู้โจมตีที่มีสิทธิ์ของผู้ดูแลระบบสามารถทำการเรียกใช้โค้ดได้โดยไม่รับอนุญาต
ช่องโหว่ CVE-2020-9691 เป็นช่องโหว่ DOM-based Cross-Site Scripting (XSS) ช่องโหว่จะช่วยให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธ์สามารถรันโค้ดได้โดยไม่รับอนุญาตบนเครื่องที่ยังไม่ได้รับการเเพตซ์ช่องโหว่
ช่องโหว่ CVE-2020-9690 เป็นช่องโหว่ Observable Timing Discrepancy ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ระดับผู้ดูแลระบบสามารถ Bypass การตรวจสอบ Signature ได้

ช่องโหว่มีผลกระทบกับ Magento Commerce รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1 และ Magento Open Source รุ่นก่อนหน้าเวอร์ชัน 2.3.5-p1

Adobe กล่าวว่าสำหรับผู้ใช้งานที่ทำการติดตั้ง Magento Commerce และ Magento Open Source รุ่นที่มีช่องโหว่จะได้รับการเเนะนำให้ทำการติดตั้งเป็นเวอร์ชันใหม่ล่าสุด (2.4.0) หรือผู้ใช้สามารถอัปเกรดการติดตั้งเป็น Magento Commerce 2.3.5-p2 หรือ Magento Open Source 2.3.5-p2 นอกจากนี้ Adobe ได้เเนะนำให้ผู้ใช้ควรรีบทำการอัปเดตเเพตซ์การเเก้ไขช่องโหว่ให้เร็วที่สุดเพื่อปิดช่องทางการใช้ประโยชน์จากช่องโหว่ของผู้โจมตี

ที่มา: bleepingcomputer.

Adobe ได้ประกาศเพิ่มการรับรองการใช้ Two-factor authentication (2FA) ในผลิตภัณฑ์ Magento เพื่อตอบสนองต่อการโจมตีที่มีจำนวนมากขึ้น ซึ่งการใช้ 2FA จะช่วยป้องกันผู้โจมตีที่พยายามทำการเข้าสู่ระบบโดยไม่ได้รับอนุญาต

ทีม Security Operation ของ Adobe ได้เปิดเผยว่าการโจมตีกว่า 75% ในผลิตภัณฑ์ Magento นั้นเกิดขึ้นในลักษณะ Web Skimming (หรือที่รู้จักคือ Magecart หรือ e-skimming) โดยหลังจากการบุกรุกแล้ว ผู้โจมตีจะพยายามใช้สคริปต์ในการลักลอบบันทึกข้อมูลบัตรเครดิตและการทำธุรกรรมบนเว็บไซต์ซึ่งใช้ Magento เพื่อพยายามขโมยข้อมูลการใช้บัตรเครดิตของลูกค้าซึ่งเมื่อเร็วๆ นี้บริษัท Sansec ได้เปิดเผยถึงโจมตีรูปแบบนี้ผ่านกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus หรือ Hidden Cobra ที่ได้ทำการขโมยข้อมูลการชำระเงินของลูกค้าผ่านทางเว็บไซต์ Magento

ทีม Security Operation ของ Adobe ยังกล่าวอีกว่าการใช้งาน 2FA ก่อนเข้าสู่ระบบพอร์ทัลของผู้ดูแลระบบ Magento จะช่วยตรวจสอบความถูกต้องและลดการโจมตี ซึ่งจะช่วยป้องกันผู้ที่ทำการบุกรกไม่ให้เข้าถึงพอร์ทัลของผู้ดูแลระบบด้วยบัญชีที่ถูกบุกรุก สำหรับส่วนขยายการใช้งาน 2FA นั้นจะติดตั้งเป็น Core Bundled Extension (CBE) โดยอัตโนมัติเมื่อติดตั้งหรืออัพเกรดเป็น Magento Open Source หรือ Commerce 2.4.X

ทั้งนี้ผู้ดูแลระบบหรือผู้ดูแลเว็บไซต์ควรทำการอัพเกรดระบบเพื่อใช้งาน 2FA ในป้องกันผู้ประสงค์ร้ายเข้าถึงระบบของผู้ดูแลระบบ

ที่มา: bleepingcomputer

Adobe ออกเเพตซ์เเก้ไขช่องโหว่ในผลิตภัณฑ์ Creative Cloud, Media Encoder, Genuine Service, ColdFusion และ Download Manager products โดยช่องโหว่ที่สำคัญมีดังนี้

ช่องโหว่บน Adobe Download Manager ถูกติดตามด้วยรหัส CVE-2020-9688 ช่องโหว่เป็นประเภท Command injection ทำให้ผู้โจมตีสามรถเรียกใช้โค้ดโดยไม่ได้รับอนุญาต ช่องโหว่นี้มีผลกับ Adobe Download Manager เวอร์ชั่น 2.0.0.518 สำหรับ Windows
ช่องโหว่บน Adobe ColdFusion ถูกติดตามด้วยรหัส CVE-2020-9672, CVE-2020-9673 ช่องโหว่เป็นประเภท DLL search-order hijacking ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ได้ ช่องโหว่นี้มีผลกับ ColdFusion เวอร์ชั่นต่ำกว่า 2016 และ ColdFusion เวอร์ชั่นต่ำกว่า 2018
ช่องโหว่บน Adobe Genuine Service ถูกติดตามด้วยรหัส CVE-2020-9667, CVE-2020-9681 และ CVE-2020-9668 ช่องโหว่เป็นประเภท Insecure library loading และ Mishandling symbolic links ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ได้ ช่องโหว่นี้มีผลกับ Adobe Genuine Service เวอร์ชั่นก่อนหน้า 6.6 หรือเวอร์ชั่นก่อนหน้า สำหรับ Windows และ   macOS
ช่องโหว่บน Adobe Media Encoder ถูกติดตามด้วยรหัส CVE-2020-9649, CVE-2020-9650 และ CVE-2020-9646 ช่องโหว่เป็นประเภท Out-of-bound read และ Out-of-bound write ทำให้ผู้โจมตีสามารถอ่านข้อมูลและเขียนรันคำสั่งได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีผลกับ Adobe Media Encoder เวอร์ชั่น 14.2 สำหรับ Windows
ช่องโหว่บน Adobe Creative Cloud Desktop Application ถูกติดตามด้วยรหัส CVE-2020-9669, CVE-2020-9671, CVE-2020-9670 และ CVE-2020-9682 ช่องโหว่เป็นประเภท Lack of exploit mitigation, Insecure file permission และ Symlink vulnerability ทำให้ผู้โจมตีสามารถสามารถยกระดับสิทธ์ผู้ใช้และสามารถเขียน file system ได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้มีผลกับ Creative Cloud Desktop Application วอร์ชั่นก่อนหน้า 5.1 สำหรับ Windows

ทั้งนี้ผู้ใช้งานควรทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา:

https://us-cert.

Adobe ได้เผยแพร่แพตช์ปรับปรุงความปลอดภัยสำหรับ Adobe Illustrator, Bridge และ Magento ซึ่งทำการแก้ไขช่องโหว่จำนวน 35 รายการ โดยมี 25 รายการเป็นช่องโหว่ที่มีความรุนเเรงระดับ ‘Critical’ หากผู้โจมใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจนำไปสู่การดำเนินการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต, การเปิดเผยข้อมูลที่มีความสำคัญ และอาจทำให้เกิดการเรียกใช้โค้ดโจมตีจากระยะไกลได้

Adobe Illustrator แก้ไขช่องโหว่ระดับ ‘Critical’ จำนวน 5 รายการพบเป็นช่องโหว่ Memory Corruption ที่สามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตถูกติดตามเป็น CVE-2020-9570, CVE-2020-9571, CVE-2020-9572, CVE-2020-9573, CVE-2020-9574
Adobe Bridge เเก้ไขช่องโหว่ 17 รายการโดยเเบ่งเป็นระดับ ‘Critical’ จำนวน 14 รายการโดยช่องโหว่มีผลกระทบทำให้ผู้โจมตีสามารถเรียกใช้โค้ดโดยไม่ได้รับอนุญาตและช่องโหว่ระดับ ’Important’ 3 รายการโดยช่องโหว่มีผลกระทบทำให้ผู้โจมตีสามารถเรียกดูข้อมูลที่มีความสำคัญได้
Magento CMS เเก้ไขช่องโหว่ 13 รายการโดยเเบ่งเป็นระดับ ‘Critical’ จำนวน 6 รายการและช่องโหว่ระดับ ’Important’ 4 รายการและระดับ ‘Moderate’ จำนวน 3 รายการช่องโหว่เหล่านี้มีความเสี่ยงต่อการเรียกใช้โค้ดโดยไม่ได้รับอนุญาต, การเปิดเผยข้อมูลที่สำคัญและการเข้าถึง Admin Panel โดยไม่ได้รับอนุญาต

ข้อเเนะนำ ผู้ใช้งาน Adobe Illustrato 2020 เวอร์ชั่น 24.0.2 และรุ่นก่อนหน้า ผู้ใช้งานเวอร์ชั่น Windows ผู้ใช้งานควรทำการอัพเดตเเพตซ์เป็น Adobe Illustrato 2020 เวอร์ชั่น 24.1.2
ผู้ใช้งาน Adobe Bridge เวอร์ชั่น 10.0.1 และรุ่นก่อนหน้า ผู้ใช้งานควรทำการอัพเดตเเพตซ์เป็น Adobe Bridge เวอร์ชั่น 10.0.4
ผู้ใช้งาน Magento Commerce เวอร์ชั่น 2.3.4 และรุ่นก่อนหน้า, Magento Open Source เวอร์ชั่น 2.3.4 และรุ่นก่อนหน้า, Magento Enterprise Edition เวอร์ชั่น 1.14.4.4 และรุ่นก่อนหน้าและ Magento Community Edition เวอร์ชั่น 1.9.4.4 และรุ่นก่อนหน้า ผู้ใช้งาน Magento CMS ควรทำการติดตั้งและอัพเดตให้เป็นเวอร์ชั่นล่าสุดเพื่อแก้ไขช่องโหว่เหล่านี้

ที่มา:
bleepingcomputer.

Adobe ออกเเพตซ์แก้ไขปัญหาช่องโหว่ 5 รายการใน ColdFusion, After Effects และ Digital Editions

Adobe ได้ทำการเผยแพร่ข่าวความปลอดภัยและออกแพตซ์เเก้ไขช่องโหว่ 5 รายการสำหรับผลิตภัณฑ์ Adobe ColdFusion, Adobe After Effects และ Digital Editions

โดยช่องโหว่ถูกรายงานโดย Jason Troy (CVE-2020-3767), ทีมนักวิจัยจากบริษัท Secure-D Center คุณ Nuttakorn Tungpoonsup คุณ Ammarit Thongthua และคุณ Sittikorn Sangrattanapitak (CVE-2020-3768), Raki Ben Hamouda (CVE-2020-3796), Matt Powell (CVE-2020-3809 ) จากทีม Zero Day Initiative บริษัท Trend Micro และ (CVE-2020-3798) ได้รับรายงานโดย Jason Troy, Raki Ben Hamouda และนักวิจัยจาก imec-DistriNet ที่ KU Leuven

Adobe ColdFusion พบช่องโหว่ที่มีความรุนแรง 3 รายการมีผลต่อ ColdFusion เวอร์ชัน 2016 และ 2018 ตามลำดับ ช่องโหว่ CVE-2020-3767 เป็นช่องโหว่การปฏิเสธการให้บริการระดับแอปพลิเคชัน (Denial-Of-Services หรือ DoS), ส่วน CVE-2020-3768 เป็นช่องโหว่การยกระดับสิทธิและ CVE-2020-3796 เป็นช่องโหว่การเปิดเผยโครงสร้าง System file

Adobe After Effects พบเป็นช่องโหว่ 1 รายการคือ CVE-2020-3809 ที่ช่องโหว่อาจนำไปสู่การรั่วไหลข้อมูลจากหน่วยความจำระบบ

Adobe Digital Editions ช่องโหว่ CVE-2020-3798 เป็นช่องโหว่ในการเปิดเผยข้อมูลที่เกี่ยวข้องกับการระบุหาไฟล์ในระบบ

Adobe แนะนำให้ผู้ใช้งานทำการอัพเดตแพตซ์ให้เป็นเวอร์ชันล่าสุด

ที่มา: https://securityaffairs.

Adobe ได้เผยแพร่แพตช์ความปลอดภัยสำหรับแอปพลิเคชัน Creative Cloud Desktop โดย Adobe ระบุว่ามีการค้นพบช่องโหว่ระดับ 'Critical' ในแอพพลิเคชั่น Creative Cloud Desktop ที่จะทำให้ผู้โจมตีสามารถลบไฟล์บนคอมพิวเตอร์ได้โดยกระทบกับ Creative Cloud Desktop แอพพลิเคชั่นก่อนเวอร์ชัน 5.1

รายละเอียดช่องโหว่

CVE-2020-3808: ช่องโหว่จัดอยู่ในประเภท Time-of-check Time-of-use (TOCTOU) ทำให้ผู้โจมตีจากระยะไกล (REC) สามารถเข้ามาลบไฟล์บนระบบได้โดยพลการ

การเเก้ไขช่องโหว่

ผู้ใช้ควรอัพเกรดเป็น Adobe Creative Cloud Desktop Application เวอร์ชัน 5.1

ที่มา : adobe-fixes-critical-vulnerability-in-creative-cloud-application

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์ 2020

Adobe ออกอัปเดตแพตช์ประจำเดือนกุมภาพันธ์เพื่อแก้ไข 42 ช่องโหว่ใน 5 ผลิตภัณฑ์ ได้แก่ Framemaker, Acrobat รวมถึง Reader, Flash Player, Digital Editions และ Experience Manager

ช่องโหว่ใน Framemaker ส่วนใหญ่ถูกจัดอยู่ในความรุนแรงระดับ Critical และมีผลกระทบกับ Framemaker บนระบบปฏิบัติการ Windows โดยช่องโหว่ที่พบคือ buffer overflow, heap overflow, out-of-bounds write, และ memory corrupt flaws ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายด้วยสิทธิของผู้ใช้งานปัจจุบันได้

นอกจากนี้ทาง Adobe ยังกล่าวถึงช่องโหว่อีก 17 ช่องโหว่ของผลิตภัณฑ์ Acrobat รวมถึง Reader ในระบบปฏิบัติการ Windows และ MasOs ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical 2 ช่องโหว่ ได้แก่ช่องโหว่ memory corruption ที่ส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ และช่องโหว่ privilege escalation bugs ที่อนุญาตให้ผู้โจมตีสามารถเขียนไฟล์ที่เป็นอันตรายไปยังระบบได้ ในส่วนของข้อบกพร่องที่เหลืออยู่ใน Acrobat and Reader ถูกจัดลำดับความรุนแรงในระดับปานกลางได้แก่ช่องโหว่ memory leaks และช่องโหว่ information disclosure ข้อบกพร่องถูกรายงานไปยัง Adobe โดยผู้เชี่ยวชาญอิสระและนักวิจัยจาก Qihoo 360, Tencent, Renmin University of China, Cisco Talos, the Chinese Academy of Sciences, Baidu, และ McAfee

นอกจากนี้ทาง Adobe ยังเปิดเผยถึงช่องโหว่ arbitrary code execution ใน Flash Player ซึ่งหากผู้โจมตีสามารถรันคำสั่งแปลกปลอมด้วยสิทธิของผู้ใช้งานปัจจุบัน รวมถึงช่องโหว่ใน Digital Editions ได้แก่ ช่องโหว่ command injection bug, information disclosure และช่องโหว่ denial-of-service (DoS) ที่ส่งผลกระทบกับ Adobe Experience Manager เวอร์ชั่น 6.5 และ 6.4

โดยทาง Adobe ยื่นยันว่ายังไม่พบการโจมตีผ่านช่องโหว่ทั้งหมดนี้เกิดขึ้น

ที่มา : securityaffairs