新闻中心 > 新闻详情

内存安全周报第97期 | 新的Adobe Illustrator补丁解决了FortiGuard实验室发现的多个0day漏洞

2022 年 6 月 26 日

安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

新的Adobe Illustrator补丁解决了FortiGuard实验室发现的多个0day漏洞(6.21)

在2022年初,FortiGuard实验室发现了Adobe Illustrator中的5个0day漏洞,并向Adobe公司报告了这些漏洞。在2022年6月14日(周二),Adobe发布了一个安全补丁来修复这些漏洞,分别为CVE-2022-30649、CVE-2022-30666、CVE-2022-30667、CVE-2022-30668和CVE-2022-30669。这些与Illustrator插件相关漏洞的产生原因不尽相同。所有这些漏洞都被指定为高危或重要的严重级别。我们建议用户尽快使用Adobe补丁。

详细情况

受影响平台: Windows和MacOS

受影响版本: Adobe Illustrator 2022,26.0.2 和 更早版本,Adobe Illustrator 2021,25.4.5 和 更早版本

影响: 多个漏洞导致任意代码执行或内存泄漏

严重级别: 紧急且重要

以下是关于这些漏洞的细节:

CVE-2022-30649:

这个任意代码执行漏洞存在于CorelDraw Drawing工具在Adobe Illustrator软件中解码CDR文件场景。具体来说,该漏洞是由一个畸形的CDR文件引起的,该文件由于边界检查不当而导致内存写越界。

攻击者可以利用这个漏洞,通过精心制作的CDR文件在应用程序上下文中执行任意代码。

Fortinet之前针对这个漏洞更新了IPS特征库以保护用户资产。

CVE-2022-30666:

该内存泄漏漏洞存在于CorelDraw Drawing工具在Adobe Illustrator软件中解码CDR文件场景。具体来说,该漏洞是由一个畸形的CDR文件引起的,该文件由于不适当的边界检查而导致内存越界访问。

攻击者可以利用此漏洞进行非预期的内存读取,进而可能导致内存数据泄漏。

Fortinet已经更新了IPS特征库来应对以上漏洞利用攻击。

CVE-2022-30667:

该内存泄漏漏洞存在于CorelDraw Drawing工具在Adobe Illustrator软件中解码CDR文件场景。具体来说,该漏洞是由一个畸形的CDR文件引起的,该文件由于不适当的边界检查而导致内存越界访问。

攻击者可以利用此漏洞进行非预期的内存读取,进而可能导致内存数据泄漏。

Fortinet已经更新了IPS特征库来应对以上漏洞利用攻击。

CVE-2022-30668:

该内存泄漏漏洞存在于CorelDraw Drawing工具在Adobe Illustrator软件中解码CDR文件场景。具体来说,该漏洞是由一个畸形的CDR文件引起的,该文件由于不适当的边界检查而导致内存越界访问。

攻击者可以利用此漏洞进行非预期的内存读取,进而可能导致内存数据泄漏。

Fortinet已经更新了IPS特征库来应对以上漏洞利用攻击。

CVE-2022-30669:

该内存泄漏漏洞存在于CorelDraw Drawing工具在Adobe Illustrator软件中解码CDR文件场景。具体来说,该漏洞是由一个畸形的CDR文件引起的,该文件由于不适当的边界检查而导致内存越界访问。

攻击者可以利用此漏洞进行非预期的内存读取,进而可能导致内存数据泄漏。

Fortinet已经更新了IPS特征库来应对以上漏洞利用攻击。

Fortinet IPS客户的防护签名如下,这些签名是之前针对这些漏洞发布的:

• Adobe.Illustrator.CVE-2022-30649.Arbitrary.Code.Execution

• Adobe.Illustrator.CVE-2022-30666.Out.of.Bounds.Read

• Adobe.Illustrator.CVE-2022-30667.Out.of.Bounds.Read

• Adobe.Illustrator.CVE-2022-30668.Out.of.Bounds.Read

• Adobe.Illustrator.CVE-2022-30669.Out.of.Bounds.Read

参考链接

https://www.fortinet.com/blog/threat-research/adobe-patches-address-zero-day-vulnerabilities-discovered-by-fortiguard-labs?web_view=true

隐私政策     法律信息     Copyright©️2019-2021 ANXINSEC All Rights Reserved | 京ICP备19024522号-1 |  京公网安备 11010802033723号

试用申请

提交申请成功后,我们会及时与您联系以提供专业的安全服务。

发送验证码
试用产品选择

申请提交成功

感谢您的申请,我们会及时与您取得联系。

关注安芯官方微信公众号,了解更多公司消息

系统信息检测平台
当前版本:v3.0.12
文件大小:19.3MB
更新时间:2020.07.24