导语：

Adobe已发布了计划的2020年7月安全更新，涵盖了五个不同产品领域的缺陷：Creative Cloud Desktop；媒体编码器；下载管理器; 真正的服务；和ColdFusion。

其中四个错误的严重性被评为严重，而其他错误则被评为重要。大多数重要漏洞都涉及特权升级，而关键漏洞则为更危险的攻击打开了大门。

“对Adobe Download Manager和Media Encoder的更新均解决了可能导致任意代码执行的关键漏洞(CVE-2020-9688、9646和9650)，” Automox产品营销经理Justin Knapp告诉Threatpost。“第四个严重漏洞(CVE-2020-9682)影响Creative Cloud桌面，如果被利用，则可能使攻击者可以创建或修改文件。”

Creative Cloud桌面

Adobe已针对Windows的Creative Cloud桌面应用程序发布了四个漏洞的补丁程序，其中包括一个允许任意文件系统写入的严重漏洞。

Creative Cloud是一套用于创建和处理视频，设计，摄影和网络艺术的应用程序和服务。Adobe在周二计划的每月安全更新中指出，该产品的受影响版本包括Creative Cloud Desktop Application 5.1和更早版本。

关键漏洞是符号链接(symlink)漏洞(CVE-2020-9682)，该漏洞可能使攻击者成功利用漏洞可以在他们通常无法访问的位置创建或修改文件。符号链接是其他文件的快捷方式。

“虽然这是一个关键漏洞，但Adobe将该漏洞排在第2位，这意味着根据过去的历史，这些系统的风险可能会增加，然后针对该特定漏洞，目前尚无已知漏洞利用，”高级主管Jimmy Graham说审核咨询后，负责产品管理。

补丁程序还解决了三个重要级别的安全漏洞，所有这些漏洞都可能导致当前用户上下文中的特权升级。

• 跟踪为CVE-2020-9669的错误是由于缺乏漏洞利用缓解措施造成的；
• CVE-2020-9671是由不安全的文件权限引起的；
• CVE-2020-9670是另一个不太严重的符号链接漏洞。

媒体编码器

Adobe还发布 了适用于Windows的Adobe Media Encoder(14.2和更早版本)的更新。Media Encoder是Adobe视频编辑套件的一部分，负责将视频文件转换为正确的格式，以确保它们在各种设备上都能正常播放。

该通报解决了两个严重的越界写入错误(CVE-2020-9650和CVE-2020-9646)，这些错误可能导致任意代码执行。以及重要的越界读取(CVE-2020-9649)，该读取可以允许在当前用户的上下文中公开信息。

就其本身而言，任意代码执行漏洞的使用范围仅限于受影响进程的特权，但是当与特权升级漏洞结合使用时，它可以使攻击者快速升级进程的特权并在目标系统上执行代码，从而为攻击者提供攻击力完全控制该设备。

下载管理器

安全修复程序中还包括一个针对严重漏洞的补丁，该漏洞可能导致Adobe Download Manager for Windows中的任意代码执行。该错误(CVE-2020-9688)影响平台的2.0.0.518版。

这个问题允许使用命令注入(如果被利用的话)，这最终可能会打开任意代码执行的大门。

安全研究员Dhiraj Mishra(@RandomDhiraj)报告了此问题。

正品服务

同时，针对Windows和macOS的Adobe正版服务具有三个重要漏洞，该服务会定期验证已安装的Adobe软件以根除不正确和无效的许可证以及盗版软件。

这些都可能导致当前用户上下文中的特权升级。其中包括两个不安全的库加载错误(CVE-2020-9667和CVE-2020-9681)；其中一个是符号链接处理不当的结果(CVE-2020-9668)

根据Adobe的更新，它们会影响正版服务6.6和更早版本。

Adobe将发现归功于CQURE(CVE-2020-9667)和Topsec Alpha Team的Li(CVE-2020-9668，CVE-2020-9681)的Adrian Denkiewicz。

Adobe ColdFusion

最后，Adobe 还发布了ColdFusion版本2016(更新15和更早版本)和2018(更新9和更早版本)中多个重要漏洞的补丁程序。ColdFusion是供应商流行的用于构建和部署Web和移动应用程序的平台。

两个CVE掩盖了允许DLL搜索顺序劫持的缺陷，从而导致特权提升(CVE-2020-9672和CVE-2020-9673)。安全D中心研究小组的Nuttakorn Tungpoonsup和Ammarit Thongthua以及独立的网络安全研究员Sittikorn Sangrattanapitak均报告了这些错误。

与Adobe常规的每月安全补丁程序相比，7月的补丁更新不算什么，但这可能是因为该公司在6月中旬发布了针对18个关键漏洞的带外更新。这些影响了许多关键产品，包括Adobe After Effects，Illustrator，Premiere Pro，Premiere Rush和Audition。如果成功利用漏洞，这些漏洞将使攻击者能够执行任意代码。

Ivanti安全产品管理总监Chris Goettl对Threatpost表示：“本月的Adobe公告列表非常简单，没有一个更引人注目的目标。” “ Flash Player也有一个发行版，但它与安全性无关。Adobe Acrobat和Reader在5月进行了更新，因此我们很可能会在8月的补丁程序周期中看到一些关注。”

由于平均每个组织需要107天来修补一个新漏洞，所以现在很可能有许多组织在公司设备上同时存在任意代码执行和特权提升漏洞，这可能会为攻击者利用提供完美的渠道。

---

我们是BENCOM信息科技，专注IT基础架构解决方案十余年。任何关于服务器、工作站、存储、信息安全等问题，都可以私信小编，小编将会安排专业的工程师免费为您答疑解惑。