top of page

Vulnerabilidades Críticas em Produtos Adobe: Patches Urgentes Recomendados

  • Foto do escritor: Internology Soluções em Marketing
    Internology Soluções em Marketing
  • 30 de jun.
  • 3 min de leitura

Novas vulnerabilidades críticas foram descobertas em diversos produtos Adobe, incluindo InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat e Reader. As falhas mais graves podem permitir a execução arbitrária de código, colocando dados e sistemas em risco. Usuários são aconselhados a aplicar as atualizações de segurança imediatamente.

Principais Pontos

  • Múltiplas vulnerabilidades foram identificadas em uma vasta gama de produtos Adobe.

  • A falha mais crítica permite a execução arbitrária de código, podendo levar à instalação de programas, modificação de dados e criação de novas contas com privilégios de usuário.

  • Não há relatos de exploração dessas vulnerabilidades em ataques reais até o momento.

  • As entidades governamentais e grandes/médias empresas enfrentam um risco ALTO, enquanto pequenas empresas têm risco MÉDIO e usuários domésticos, risco BAIXO.

Produtos Adobe Afetados

As vulnerabilidades afetam as seguintes versões de produtos Adobe:

  • Adobe Substance 3D Painter 11.0.1 e versões anteriores

  • Adobe InCopy 20.2 e versões anteriores

  • Adobe InCopy 19.5.3 e versões anteriores

  • Adobe Experience Manager (AEM) e AEM Cloud Service (CS) 6.5.22 e versões anteriores

  • Adobe Commerce 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 e versões anteriores

  • Adobe Commerce B2B 1.5.2, 1.4.2-p5, 1.3.5-p10, 1.3.4-p12, 1.3.3-p13 e versões anteriores

  • Magento Open Source 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12 e versões anteriores

  • Adobe InDesign ID20.2 e versões anteriores

  • Adobe InDesign ID19.5.3 e versões anteriores

  • Adobe Substance 3D Sampler 5.0 e versões anteriores

  • Acrobat DC 25.001.20521 e versões anteriores

  • Acrobat Reader DC 25.001.20521 e versões anteriores

  • Acrobat 2024 24.001.30235 e versões anteriores

  • Acrobat 2020 20.005.30763 e versões anteriores

  • Acrobat Reader 2020 20.005.30763 e versões anteriores

Detalhes Técnicos das Vulnerabilidades

As vulnerabilidades incluem, mas não se limitam a:

  • Substance 3D Painter: Out-of-bounds Write (CVE-2025-47108)

  • Adobe InCopy: Integer Overflow ou Wraparound (CVE-2025-30327), Heap-based Buffer Overflow (CVE-2025-47107)

  • Adobe Experience Manager: Autorização Imprópria (CVE-2025-46840), Validação de Entrada Imprópria (CVE-2025-46837, CVE-2025-47096), Cross-site Scripting (DOM-based XSS, Stored XSS, Reflected XSS), Controle de Acesso Impróprio (CVE-2025-46889), Redirecionamento de URL para Site Não Confiável (CVE-2025-47095)

  • Adobe Commerce: Cross-site Scripting (Reflected XSS) (CVE-2025-47110), Autorização Imprópria (CVE-2025-43585), Controle de Acesso Impróprio (CVE-2025-27206, CVE-2025-27207, CVE-2025-43586)

  • Adobe InDesign: Heap-based Buffer Overflow (CVE-2025-30317), Out-of-bounds Write (CVE-2025-43558, CVE-2025-43590, CVE-2025-43593), Use After Free (CVE-2025-43589, CVE-2025-47106), Out-of-bounds Read (CVE-2025-47104, CVE-2025-47105), NULL Pointer Dereference (CVE-2025-30321)

  • Substance 3D Sampler: Out-of-bounds Write (CVE-2025-43581, CVE-2025-43588)

  • Adobe Acrobat e Reader: Use After Free (CVE-2025-43573, CVE-2025-43574, CVE-2025-43576, CVE-2025-43550, CVE-2025-43577), Out-of-bounds Write (CVE-2025-43575), Out-of-bounds Read (CVE-2025-43578, CVE-2025-47112), NULL Pointer Dereference (CVE-2025-47111), Exposição de Informações (CVE-2025-43579)

Recomendações de Segurança

Para mitigar os riscos, as seguintes ações são recomendadas:

  • Atualização de Software: Aplique as atualizações estáveis fornecidas pela Adobe imediatamente após testes apropriados.

  • Gerenciamento de Vulnerabilidades: Estabeleça e mantenha um processo documentado de gerenciamento de vulnerabilidades para ativos empresariais.

  • Varreduras de Vulnerabilidade: Realize varreduras automatizadas de vulnerabilidades em ativos expostos externamente mensalmente ou com mais frequência.

  • Remediação: Remedeie as vulnerabilidades detectadas mensalmente ou com mais frequência, com base em uma estratégia de remediação baseada em risco.

  • Testes de Penetração: Conduza testes de penetração periódicos, especialmente para aplicações críticas, para identificar vulnerabilidades de lógica de negócios.

  • Princípio do Menor Privilégio: Execute todo o software como um usuário não privilegiado para diminuir os efeitos de um ataque bem-sucedido.

  • Gerenciamento de Contas Padrão: Desabilite ou torne inutilizáveis as contas padrão em ativos e software empresariais.

  • Restrição de Privilégios de Administrador: Restrinja os privilégios de administrador a contas dedicadas e evite atividades gerais de computação com essas contas.

  • Restrição de Conteúdo Web: Restrinja o uso de certos sites, bloqueie downloads/anexos e extensões de navegador.

  • Controle de Aplicações: Utilize controles técnicos, como listas de permissão, para garantir que apenas software e scripts autorizados possam ser executados.

  • Proteção contra Exploração: Habilite recursos anti-exploração em ativos e software, como DEP, WDEG ou SIP/Gatekeeper.

  • Detecção e Prevenção de Intrusões: Implante soluções de detecção e prevenção de intrusões baseadas em host para monitorar e bloquear comportamentos suspeitos.

Fontes

  • Multiple Vulnerabilities in Adobe Products Could Allow for Arbitrary Code Execution, CIS Center for Internet Security.

 
 
 

Comments

bottom of page