Adobe 修复 ColdFusion 和 InDesign 的关键零日漏洞

关键要点

Adobe 发布了针对 ColdFusion 和 InDesign 产品的关键零日漏洞补丁。这两项补丁是本周发布的 15 个补丁中的一部分。ColdFusion 漏洞可能导致任意代码执行。InDesign 中的漏洞与恶意文件的处理有关，可能导致信息泄露。

Adobe 最近发布了针对其 ColdFusion 和 InDesign 产品中的关键零日漏洞的补丁，这些漏洞可能导致任意代码执行攻击。这些重要修复是本周发布的 15 个补丁的一部分，其中包括三个针对 ColdFusion 和 12 个针对 InDesign 的补丁，均属于 Adobe 的定期月度 安全更新 服务。

Adobe 警告称，这些 ColdFusion 漏洞 涉及 2018、2021 和 2023 版本的 Web 应用开发平台，可能导致“任意代码执行和安全功能绕过”。在这三项修复中，最严重的漏洞是 CVE202329300，它是一种不受信任数据的 反序列化 漏洞，CVSS v3 等级为 98，属于关键严重性。

今年三月，Adobe 修复了另一个 关键 ColdFusion 漏洞，该漏洞也可能导致任意代码执行和内存泄漏。当时，Adobe 表示，跟踪为 CVE202326360 的零日漏洞“在有限范围内被利用”。

关于本周发布的 12 个 补丁，与 InDesign 桌面出版软件相关的最严重漏洞是 CVE202329308，其 CVSS v3 等级为 78。这是一个越界写入漏洞，如果受害者打开恶意文件，可能导致任意代码执行。

其他 11 个 InDesign 漏洞被分类为“重要”级别，CVSS v3 评分均为 55。所有 12 个漏洞均由 Fortinet 的 FortiGuard Labs 的 Yonghui Han 报告。在一篇博客文章中，研究员指出，这组漏洞中唯一的关键漏洞与在 InDesign 中使用 QuarkXPress (QXD) 桌面出版文件的解码相关。

火烧云梯子注册

“具体来说，该漏洞是由于一个 malformed 的 QXD 文件引起的，该文件在不正确的边界检查下导致了越界内存写入，”他写道。“攻击者可以利用此漏洞，通过精心制作的 QXD 文件在应用程序上下文中执行任意代码。”

他发现的其他 11 个漏洞均为越界读取漏洞，同样与在 InDesign 中解码 QXD 文件相关。再次指出，制作一个 malformed 的文件可能由于不当的边界检查导致越界内存读取，从而使黑客能够泄露信息。

本月是 Yonghui Han 第一次被认可发现 12 个 InDesign 漏洞并在单个月度更新中披露，之前的 情况 是在去年九月。

他在文章中表示，这 12 个漏洞“各自的根源原因与一个 InDesign 插件有关”。“鉴于这些漏洞的严重性，我们建议用户尽快应用 Adobe 补丁。”

网络安全和基础设施安全局 (CISA) 尚未将本周发布的 15 个 Adobe 漏洞添加至其 已知被利用漏洞目录，但在一份简要公告中表示，“鼓励用户和管理员查看 Adobe 的安全发布 [APSB2338](https//helpxadobecom/security/products