کشف چند آسیب‌پذیری در Illustrator

کشف چند آسیب‌پذیری در Illustrator

تاریخ ایجاد

چند آسیب‌پذیری در محصول Illustrator شرکت Adobe  با شناسه‌های CVE-2024-30271  CVE-2024-30272  CVE-2024-30272 و شدت بالا (7.8) کشف شده‌ است.

  • CVE-2024-30271 و CVE-2024-30272: در این آسیب‌پذیری‌ها نسخه‌هایی از برنامه Illustrator تحت ‌تاثیر نقص امنیتی نوشتن خارج از محدوده قرار دارند که می‌تواند توسط مهاجم منجر به اجرای کد دلخواه در سشن کاربر کنونی گردد. بهره‌برداری از این نقص‌های امنیتی مستلزم تعامل کاربر می‌باشد، بدین‌گونه که می‌بایست قربانی فایل مخرب ارسال‌ شده توسط مهاجم را باز کند.
  • CVE-2024-30273: نسخه‌هایی از برنامه Illustrator تحت ‌تاثیر نقص امنیتی سرریز بافر مبتنی بر پشته قرار دارند که می‌تواند توسط مهاجم منجر به اجرای کد دلخواه در سشن کاربر کنونی گردد. بهره‌برداری از این نقص امنیتی مستلزم تعامل کاربر است و قربانی باید فایل مخرب ارسال ‌شده توسط مهاجم را باز کند.

بر اساس بردار حمله این آسیب‌پذیری‌ها (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) بهره‌برداری از این آسیب‌پذیری از طریق شبکه خارجی و از راه دور امکان‌پذیر نیست (AV:L). سوء‌استفاده از این آسیب‌پذیری نیازمند پیش‌زمینه‌ نبوده و به‌راحتی قابل تکرار است (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز دارد(UI:R). بهره‌برداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). با سوءاستفاده از این آسیب‌پذیری، هر سه ضلع امنیت با شدت زیاد تاثیر قرار می‌گیرد. (C:H/I:H/A:H)

محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیب‌پذیری‌های مذکور قرار دارند:
1-    نسخه‌های قبل از 28.3 و بعد از 28.0 برنامه Illustrator 2024 شرکت Adobe
2-    نسخه‌های 27.9.2 و قبل از آن برنامه Illustrator 2023 شرکت Adobe

توصیه‌های امنیتی
1.    به‌روزرسانی به نسخه 28.4 در Illustrator 2024
2.    به‌روزرسانی به نسخه 27.9.3 در Illustrator 2023

منابع خبر:


[1] https://helpx.adobe.com/security/products/illustrator/apsb24-25.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-30271
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-30272
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-30273