چند آسیبپذیری در محصول Illustrator شرکت Adobe با شناسههای CVE-2024-30271 CVE-2024-30272 CVE-2024-30272 و شدت بالا (7.8) کشف شده است.
- CVE-2024-30271 و CVE-2024-30272: در این آسیبپذیریها نسخههایی از برنامه Illustrator تحت تاثیر نقص امنیتی نوشتن خارج از محدوده قرار دارند که میتواند توسط مهاجم منجر به اجرای کد دلخواه در سشن کاربر کنونی گردد. بهرهبرداری از این نقصهای امنیتی مستلزم تعامل کاربر میباشد، بدینگونه که میبایست قربانی فایل مخرب ارسال شده توسط مهاجم را باز کند.
- CVE-2024-30273: نسخههایی از برنامه Illustrator تحت تاثیر نقص امنیتی سرریز بافر مبتنی بر پشته قرار دارند که میتواند توسط مهاجم منجر به اجرای کد دلخواه در سشن کاربر کنونی گردد. بهرهبرداری از این نقص امنیتی مستلزم تعامل کاربر است و قربانی باید فایل مخرب ارسال شده توسط مهاجم را باز کند.
بر اساس بردار حمله این آسیبپذیریها (CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H) بهرهبرداری از این آسیبپذیری از طریق شبکه خارجی و از راه دور امکانپذیر نیست (AV:L). سوءاستفاده از این آسیبپذیری نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، و به تعامل با کاربر نیاز دارد(UI:R). بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر گذار نیست (S:U). با سوءاستفاده از این آسیبپذیری، هر سه ضلع امنیت با شدت زیاد تاثیر قرار میگیرد. (C:H/I:H/A:H)
محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیبپذیریهای مذکور قرار دارند:
1- نسخههای قبل از 28.3 و بعد از 28.0 برنامه Illustrator 2024 شرکت Adobe
2- نسخههای 27.9.2 و قبل از آن برنامه Illustrator 2023 شرکت Adobe
توصیههای امنیتی
1. بهروزرسانی به نسخه 28.4 در Illustrator 2024
2. بهروزرسانی به نسخه 27.9.3 در Illustrator 2023
منابع خبر:
[1] https://helpx.adobe.com/security/products/illustrator/apsb24-25.html
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-30271
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-30272
[4] https://nvd.nist.gov/vuln/detail/CVE-2024-30273
- 41