Adobe 近日在例行的每月更新修補包之外,另行推出針對 Adobe Character Animator 內含嚴重資安漏洞的修補程式。
這次修補的漏洞,編號為 CVE-2020-9586,主要的問題在於當用戶以此軟體開啟惡意檔案或含有惡意程式碼的網頁時,可能遭駭侵者用以遠端執行任意程式碼。
這個問題的根源在於 PostScript 子系統在針對 Bound Box 元素進行分析時的錯誤,會導致堆疊緩衝區發生溢位錯誤。該系統對於用戶輸入的資料長度,沒有事先進行適當的驗證流程,就直接把資料複製到堆疊緩衝區中。
資安廠商趨勢科技的資安研究員 Dustin Chiles 指出,這個錯誤可讓駭侵者在現正執行的程序內遠端執行任意程式碼。
這個漏洞的 CVSS 評分為 7.7 分,屬於「高危險」等級;不過 Adobe 指出,目前並未發現有任何駭侵行動利用這個漏洞進行;而在 Adobe 提供的更新優先等級,則被指定為「3」。
Adobe 建議所有仍在執行 Adobe Character Animator 3.2 與先前所有版本(包括 Windows 與 Mac 版)的用戶,視情形升級至 3.3 或更新版本,以解決這個問題。
CVE編號:CVE-2020-9586
影響產品(版本):Adobe Character Animator for Mac/Windows 3.2 與所有先前版本
解決方案:升級至 Adobe Character Animator 3.3 以上版本
參考資料
