Adobe发布112个漏洞的安全补丁更新

本月周二发布的补丁中解决的漏洞会影响Adobe Flash Player、Adobe Experience Manager、Adobe Connect、Adobe Acrobat和Reader。

本月修补的安全漏洞既没有公开披露，也没有被发现在野外被积极利用。

Adobe Flash Player（适用于台式机和浏览器）

安全更新包括针对不同平台和应用程序的Adobe Flash Player中两个漏洞的补丁，如下所示。

其中一个已被评为严重漏洞（CVE-2018-5007），成功利用此“类型混淆”漏洞可使攻击者在当前用户的上下文中在目标系统上执行任意代码。

腾讯PC经理的willJ发现了该漏洞，并向Adobe报告了该漏洞，该经理与趋势科技的零日计划合作。

在没有透露任何漏洞的技术细节的情况下，Adobe表示，第二个漏洞可能允许攻击者检索敏感信息。该漏洞已被该公司评为重要漏洞。

受影响的版本

• Flash播放器v30。0.0.113及更早版本

受影响的平台和应用程序

• 窗户
• 马科斯
• Linux
• Chrome OS
• 谷歌浏览器
• Microsoft IE 11
• 微软边缘

Adobe Acrobat和Reader（Windows和macOS）

该公司已经修补了Adobe Acrobat和Reader中总共104个安全漏洞，其中51个被评为严重漏洞，其余的在严重性上很重要。

这两种产品都包含数十个严重的堆溢出、释放后使用、越界写入、类型混淆、不受信任的指针解引用和缓冲区错误漏洞，这些漏洞可能允许攻击者在当前用户的上下文中在目标系统上执行任意代码。

来自不同安全公司的安全研究人员报告了这些漏洞，包括Palo Alto Networks、Trend Micro Zero Day Initiative、腾讯、奇虎360、CheckPoint、Cisco Talos、卡巴斯基实验室、玄武实验室和Vulcan团队。

受影响的版本

• 连续轨道—；2018.011.20040及更早版本
• 2017年经典曲目—；2017.011.30080及更早版本
• 2015年经典曲目—；2015.006.30418及更早版本

受影响的平台

• 微软视窗
• 苹果macOS

Adobe体验管理器（所有平台）

Adobe已经解决了其企业内容管理解决方案Experience Manager中三个重要的服务器端请求伪造（SSRF）漏洞，这可能导致敏感信息泄露。

其中两个安全漏洞（CVE-2018-5006、CVE-2018-12809）是由俄罗斯应用安全研究员米哈伊尔·埃戈罗夫发现的。

受影响的版本

• AEM v6。4,6.3,6.2,6.1和6.6。

这些漏洞会影响所有平台的Adobe Experience Manager，建议用户从此处下载更新版本。

Adobe Connect（所有平台）

Adobe已经修补了Adobe Connect中的三个安全漏洞—；用于创建信息、一般演示和网络会议的软件—；其中两个被认为很重要，可让攻击者绕过身份验证、劫持web会话和窃取敏感信息。

受影响的版本

• Adobe Connect v9。7.5及更早版本适用于所有平台

Adobe建议最终用户和管理员尽快安装最新的安全更新。