Adobe a annoncé mardi que les mises à jour de sécurité de ses produits Prelude, Experience Manager et Lightroom corrigent les vulnérabilités critiques d’exécution de code arbitraire.

Dans les versions Windows et macOS de l’outil de journalisation et d’ingestion vidéo Prelude, Adobe a résolu un problème critique de chemin de recherche non contrôlé pouvant conduire à l’exécution de code arbitraire dans le contexte de l’utilisateur ciblé.

Les problèmes de chemin de recherche incontrôlés sont généralement des vulnérabilités de détournement de DLL dont l’exploitation nécessite que l’attaquant ait des privilèges élevés sur le système ciblé afin de planter un fichier DLL malveillant qui serait exécuté par une application légitime.

La faille a été signalée à Adobe par Hou JingYi de la société chinoise de cybersécurité Qihoo 360. Le même chercheur a également informé Adobe d’une faille de chemin de recherche non contrôlée similaire affectant les versions Windows et macOS du logiciel de retouche et d’organisation de photos Lightroom.

Dans son produit marketing Experience Manager, Adobe a corrigé deux vulnérabilités: un bug de falsification de demande aveugle côté serveur (SSRF) de gravité importante pouvant conduire à la divulgation de données sensibles, et un problème critique de script intersite stocké (XSS) qui peut conduire à l’exécution de code JavaScript dans le navigateur.

Le géant du logiciel a également informé ses clients qu’il avait mis à jour plus d’une douzaine de dépendances Experience Manager pour corriger divers types de vulnérabilités, y compris la consommation de ressources, SSRF, injection XXE, autorisation incorrecte, exécution de code et problèmes de traversée de répertoire.

Adobe a déclaré qu’il n’était au courant d’aucune attaque exploitant ces vulnérabilités et, sur la base des notes de priorité attribuées aux failles, la société ne s’attend pas à ce qu’elles soient ciblées par des acteurs de la menace.

Il ne serait pas surprenant qu’il ne s’agisse pas des dernières mises à jour de sécurité publiées par Adobe cette année, étant donné que la société publie souvent une autre série de correctifs après Patch Tuesday.

En relation: