Компания Adobe выпустила внеочередное обновление безопасности для настольной версии Adobe InDesign. Патч закрывает двенадцать уязвимостей, восемь из которых имеют критический рейтинг опасности по шкале CVSS. Проблемы затрагивают версии ID21.3, ID20.5.3 и более ранние сборки продукта на платформах Windows и macOS.
Детали уязвимостей
Все уязвимости были обнаружены исследователями безопасности, в том числе Франсисом Провеншером (prl) и специалистом под псевдонимом jony_juice. В официальном бюллетене Adobe APSB26-58 указано, что на момент публикации компания не располагает данными об эксплуатации этих проблем в реальных атаках. Тем не менее характер уязвимостей требует немедленного внимания со стороны пользователей и администраторов.
Среди обнаруженных проблем преобладают ошибки работы с памятью. Восемь уязвимостей с оценкой CVSS 7.8 включают переполнение стека (stack-based buffer overflow), переполнение кучи (heap-based buffer overflow), использование после освобождения (use-after-free) и запись за пределами выделенной области памяти. Каждая из этих уязвимостей потенциально позволяет злоумышленнику выполнить произвольный код в контексте текущего пользователя. Для этого достаточно открыть в программе специально сформированный вредоносный файл.
Злоумышленник может доставить такой файл через фишинговое письмо, подложить его на веб-сайт или передать через мессенджер. После того как пользователь открывает файл в InDesign, уязвимость срабатывает, и атакующий получает полный контроль над приложением. В худшем сценарии это приводит к инсталляции программ-вымогателей (ransomware), краже учетных данных или закреплению в системе для дальнейшей атаки на внутреннюю инфраструктуру.
Три уязвимости получили оценку 5.5 по шкале CVSS. Они связаны с разыменованием нулевого указателя (null pointer dereference) и чтением за пределами выделенной памяти (out-of-bounds read). Первая проблема вызывает аварийное завершение приложения, что приводит к отказу в обслуживании (denial-of-service). Вторая проблема может привести к раскрытию содержимого оперативной памяти, включая конфиденциальные данные обрабатываемых документов.
Особенность этих уязвимостей заключается в том, что они затрагивают не один какой-то компонент, а несколько подсистем обработки файлов. Это говорит о системном характере ошибок, допущенных на этапе разработки. Злоумышленнику не требуется иметь высокие привилегии в системе. Все уязвимости эксплуатируются локально, причем атакующему нужно лишь заставить пользователя открыть вредоносный файл.
MITRE выделил для этих проблем следующие идентификаторы CVE: CVE-2026-34695, CVE-2026-34696, CVE-2026-34697, CVE-2026-34698, CVE-2026-34699, CVE-2026-34700, CVE-2026-34701, CVE-2026-34702, CVE-2026-34703, CVE-2026-34704, CVE-2026-34705 и CVE-2026-48293. Все они включены в состав бюллетеня безопасности APSB26-58.
Adobe рекомендует обновить InDesign до версии ID21.4 или ID20.5.4 в зависимости от используемого основного релиза. Для пользователей Creative Cloud обновление доступно через встроенный механизм обновлений в меню Help. Администраторы управляемых сред могут использовать Creative Cloud Packager для создания пакетов развертывания по всей организации.
Для бизнеса и государственных учреждений, использующих Adobe InDesign в производственных процессах, эта ситуация несет повышенный риск. Компрометация одного рабочего места в редакции или типографии может привести к заражению всей корпоративной сети. Если злоумышленник получит возможность выполнять код от имени пользователя, он сможет перемещаться по сети, поднимать привилегии и получать доступ к корпоративным данным.
На сегодняшний день это крупнейшее обновление безопасности для Adobe InDesign в 2026 году. Разработчикам Adobe потребовалось несколько месяцев, чтобы выявить и исправить все перечисленные проблемы. Хотя подтвержденных случаев эксплуатации не зафиксировано, исследователи безопасности уже опубликовали техническое описание уязвимостей. Это означает, что злоумышленники могут проанализировать патч и создать эксплойты для целей, которые не установили обновление.
Организациям, использующим Adobe InDesign, следует в максимально короткие сроки развернуть версии ID21.4 или ID20.5.4 на всех рабочих станциях. Особое внимание стоит уделить машинам, подключенным к интернету и обрабатывающим файлы из внешних источников. Промедление с установкой патча создает прямой риск компрометации систем и утечки конфиденциальных данных.
Ссылки
