Adobe 修复 ColdFusion 和 InDesign 的关键零日漏洞

关键要点

• Adobe 发布了针对 ColdFusion 和 InDesign 产品的关键零日漏洞补丁。
• 这两项补丁是本周发布的 15 个补丁中的一部分。
• ColdFusion 漏洞可能导致任意代码执行。
• InDesign 中的漏洞与恶意文件的处理有关，可能导致信息泄露。

Adobe 最近发布了针对其 ColdFusion 和 InDesign产品中的关键零日漏洞的补丁，这些漏洞可能导致任意代码执行攻击。这些重要修复是本周发布的 15 个补丁的一部分，其中包括三个针对 ColdFusion 和
12 个针对 InDesign 的补丁，均属于 Adobe 的定期月度
服务。

Adobe 警告称，这些 涉及
2018、2021 和 2023 版本的 Web 应用开发平台，可能导致“任意代码执行和安全功能绕过”。在这三项修复中，最严重的漏洞是
，它是一种不受信任数据的
漏洞，CVSS v3 等级为
9.8，属于关键严重性。

今年三月，Adobe 修复了另一个 ，该漏洞也可能导致任意代码执行和内存泄漏。当时，Adobe 表示，跟踪为

的零日漏洞“在有限范围内被利用”。

关于本周发布的 12 个
，与
InDesign 桌面出版软件相关的最严重漏洞是
，其 CVSS v3等级为 7.8。这是一个越界写入漏洞，如果受害者打开恶意文件，可能导致任意代码执行。

其他 11 个 InDesign 漏洞被分类为“重要”级别，CVSS v3 评分均为 5.5。所有 12 个漏洞均由 Fortinet 的
FortiGuard Labs 的 Yonghui Han 报告。在一篇博客文章中，研究员指出，这组漏洞中唯一的关键漏洞与在 InDesign 中使用
QuarkXPress (QXD) 桌面出版文件的解码相关。

“具体来说，该漏洞是由于一个 malformed 的 QXD文件引起的，该文件在不正确的边界检查下导致了越界内存写入，”他写道。“攻击者可以利用此漏洞，通过精心制作的 QXD 文件在应用程序上下文中执行任意代码。”

他发现的其他 11 个漏洞均为越界读取漏洞，同样与在 InDesign 中解码 QXD 文件相关。再次指出，制作一个 malformed的文件可能由于不当的边界检查导致越界内存读取，从而使黑客能够泄露信息。

本月是 Yonghui Han 第一次被认可发现 12 个 InDesign 漏洞并在单个月度更新中披露，之前的
是在去年九月。

他在文章中表示，这 12 个漏洞“各自的根源原因与一个 InDesign 插件有关”。“鉴于这些漏洞的严重性，我们建议用户尽快应用 Adobe 补丁。”

网络安全和基础设施安全局 (CISA) 尚未将本周发布的 15 个 Adobe 漏洞添加至其
，但在一份简要公告中表示，“鼓励用户和管理员查看 Adobe 的安全发布
[APSB23-38](https://helpx.adobe.com/security/products