Adobe vá 52 lỗ hổng bảo mật nghiêm trọng trên 10 sản phẩm

Adobe đã công bố bản cập nhật bảo mật quan trọng vào thứ Ba, giải quyết tổng cộng 52 lỗ hổng bảo mật trên 10 dòng sản phẩm khác nhau. Trong đó, hơn một nửa số lỗi này có thể bị kẻ tấn công khai thác để thực thi mã tùy ý (arbitrary code execution), gây nguy hiểm lớn cho dữ liệu và hệ thống của người dùng.

Adobe Security

Bên cạnh nguy cơ thực thi mã, lỗi từ chối dịch vụ ứng dụng (Application DoS) là loại vấn đề phổ biến thứ hai được khắc phục trong đợt cập nhật này.

Các lỗ hổng nghiêm trọng nhất

Bản cập nhật cho Adobe Connect được đánh giá là có mức độ rủi ro cao nhất trong đợt này. Nó khắc phục hai lỗ hổng có mức độ nghiêm trọng (critical), bao gồm CVE-2026-34659 với điểm CVSS là 9.6 cho phép thực thi mã tùy ý, và CVE-2026-34660 với điểm CVSS là 9.3 dẫn đến leo thang đặc quyền (privilege escalation).

Adobe Commerce và các sản phẩm khác

Adobe Commerce là sản phẩm có số lượng lỗi được khắc phục nhiều nhất trong đợt cập nhật này. Theo sau đó là Content Authenticity SDK với 14 lỗ hổng được vá.

Security Update

Cụ thể, bản cập nhật cho Adobe Commerce đã giải quyết 10 lỗi mức độ cao và 5 lỗi mức độ trung bình. Các vấn đề này có thể bị khai thác để bỏ qua các tính năng bảo mật, gây ra tình trạng DoS và thực thi mã tùy ý.

Đối với Content Authenticity SDK, tất cả các lỗi bảo mật được giải quyết (1 lỗi cao và 13 lỗi trung bình) đều có thể dẫn đến từ chối dịch vụ ứng dụng.

Ngoài ra, Adobe cũng đã khắc phục các vấn đề thực thi mã mức độ cao ở một số sản phẩm phần mềm sáng tạo khác:

• After Effects: 4 lỗ hổng
• Premiere Pro: 3 lỗ hổng
• Media Encoder: 2 lỗ hổng
• Substance 3D Painter: 2 lỗ hổng
• Substance 3D Sampler: 1 lỗ hổng

Bản cập nhật cho Illustrator sửa chữa hai lỗi thực thi mã mức độ cao và hai lỗi mức độ trung bình gây ra DoS và lộ bộ nhớ. Đối với Substance 3D Designer, trong số 5 lỗi mức độ trung bình được vá, bốn lỗi có thể dẫn đến thực thi mã và một lỗi cho phép đọc tùy ý hệ thống tệp.

Khuyến cáo từ Adobe

Adobe đã gán mức độ ưu tiên 2 cho bản cập nhật của Commerce vì sản phẩm này từng là mục tiêu của các cuộc tấn công trong quá khứ. Các bản cập nhật còn lại được gán mức độ ưu tiên 3.

Công ty khẳng định họ chưa phát hiện dấu hiệu cho thấy bất kỳ lỗ hổng nào trong số này đang bị khai thác tích cực trong tự nhiên (in the wild). Tuy nhiên, người dùng và quản trị viên hệ thống vẫn nên áp dụng các bản vá càng sớm càng tốt để đảm bảo an toàn. Thông tin chi tiết có thể được tìm thấy trên trang PSIRT của Adobe.