Компания Adobe в плановом порядке выпустила набор патчей, суммарно устраняющий три уязвимости в двух продуктах — Reader для Android и Adobe Connect. Разработчик назначил обоим обновлениям приоритет 3, а значит, их можно разворачивать на местах в сроки по своему усмотрению.
В приложении для видеоконференций Adobe Connect исправлены две схожих ошибки, грозящих выполнением вредоносного JavaScript-кода в браузере. Баги CVE-2020-24442 и CVE-2020-24442 классифицируются как «отраженный межсайтовый скриптинг», то есть позволяют провести XSS-атаку, если злоумышленнику удастся заманить пользователя на специально созданную страницу.
Уязвимостям подвержены все прежние выпуски Adobe Connect независимо от платформы. Патчи включены в состав сборки 11.0.5. Обновление уже начало раздаваться из облака; для тех, кто не пользуется такими услугами, оно станет доступным с 13 ноября.
Уязвимость в мобильной версии Adobe Reader зарегистрирована с идентификатором CVE-2020-24441. Согласно бюллетеню, она возникла из-за некорректной реализации механизма контроля доступа. Воспользовавшись этим недочетом, злоумышленник сможет добраться до закрытой информации с правами текущего пользователя.
Десктопную версию программы для работы с pdf-файлами Adobe пропатчила неделю назад. Внеочередные обновления для Acrobat / Reader содержат заплатки для 14 уязвимостей, в том числе четырех критических багов удаленного исполнения кода (RCE).
