Новости
Foxit PDF Reader и Editor: закрыто 20 RCE-уязвимостей
Ещё один пример, когда открытие подготовленного файла в популярном редакторе грозит выполнением кода. Что исправили и кому обновиться.
Компания Adobe выпустила крупный набор июльских обновлений безопасности и залатала уязвимости сразу в семи творческих и медийных приложениях — от After Effects и Premiere Pro до Media Encoder и Illustrator. Общий сценарий у большинства брешей один: достаточно открыть вредоносный файл проекта, изображение или видео, и на компьютере может выполниться чужой код. Разбираем, что закрыли и кому срочно обновляться.

Коротко: 14 июля 2026 года в рамках планового «вторника патчей» Adobe выпустила 12 бюллетеней безопасности и закрыла 88 уязвимостей. Около 35 из них пришлись на творческие и медийные приложения — After Effects, Premiere Pro, Media Encoder, Audition, Animate, Bridge и Illustrator. Почти все критические бреши срабатывают одинаково: пользователь открывает подготовленный злоумышленником файл, а тот выполняет произвольный код. Признаков атак «в дикой природе» Adobe не наблюдала — но обновиться стоит всем, кто работает с этими программами.
14 июля 2026 года Adobe в единый день с Microsoft провела ежемесячный «вторник патчей» (Patch Tuesday) и опубликовала 12 бюллетеней безопасности, устранив в сумме 88 уникальных уязвимостей в своих продуктах. Среди них — не только серверные ColdFusion и Commerce, но и большая группа настольных творческих приложений, которыми ежедневно пользуются дизайнеры, видеомонтажёры и специалисты по графике.
Именно эта группа интересна с точки зрения работы с файлами. Уязвимости затронули семь медийных и графических редакторов, и в каждом из них проблема сводится к разбору входных данных: приложение неправильно обрабатывает специально искажённый файл — проект, изображение, аудио или видео — и вместо аккуратной ошибки допускает запись за пределами выделенной памяти. Такой сбой, в свою очередь, открывает путь к выполнению кода злоумышленника.
Хорошая новость: по заявлению Adobe, ни одна из закрытых в этот день брешей не эксплуатировалась в реальных атаках на момент выпуска патчей. Это плановое, а не экстренное обновление. Плохая — публикация деталей упрощает создание эксплойтов, поэтому тянуть с установкой не стоит.
По разбору аналитиков Zero Day Initiative, уязвимости распределились по творческим приложениям так:
| Приложение | Уязвимостей | Что обрабатывает |
|---|---|---|
| Adobe Audition | 6 | Аудиофайлы и проекты звукового монтажа |
| Adobe Animate | 6 | Анимация и графические проекты |
| Adobe Bridge | 6 | Каталог и просмотр медиафайлов |
| Adobe Illustrator | 5 | Векторная графика |
| Adobe Media Encoder | 5 | Кодирование и конвертация видео |
| Adobe Premiere Pro | 4 | Видеомонтаж |
| Adobe After Effects | 3 | Композитинг и видеоэффекты |
Преобладающий тип брешей — запись за границами буфера (out-of-bounds write) и переполнение кучи (heap-based buffer overflow). Большинство из них Adobe оценила как критические: успешная эксплуатация ведёт к выполнению произвольного кода в контексте текущего пользователя, а часть уязвимостей приводит к утечке содержимого памяти. Самая высокая оценка серьёзности среди этих приложений — CVSS 9.3 у Illustrator.
Отдельно в тот же день Adobe закрыла куда более опасные серверные бреши — в частности, в платформе ColdFusion с оценкой CVSS 9.9. О них мы писали в отдельной заметке: критические уязвимости Adobe ColdFusion. Творческие приложения — история про настольные рабочие места, а не про публичные серверы, поэтому механика атаки здесь другая.
Ключевое условие эксплуатации почти всех этих уязвимостей — пользователь должен сам открыть вредоносный файл. Удалённо, без действий жертвы, атака не срабатывает. Но в творческой работе открытие чужих файлов — обыденность: присланный клиентом проект, скачанный шаблон After Effects, ролик от подрядчика, чужой набор ассетов для монтажа.
Механика простая. Программа ожидает файл определённой структуры и на доверии разбирает его содержимое. Если поля размеров, смещений или количества элементов в файле подделаны, парсер выделяет память под один объём данных, а записывает больше — происходит выход за границы буфера. В худшем случае это позволяет подменить служебные данные в памяти и передать управление коду атакующего.
Проектный файл монтажной программы кажется безобидным вложением — это же «просто макет» или «просто исходники ролика». Но с точки зрения безопасности он ничем не отличается от исполняемого файла: открыв его в уязвимой версии редактора, вы фактически запускаете разбор недоверенных данных. Файлы творческих проектов стоит воспринимать так же настороженно, как архивы и офисные документы из непроверенных источников.
Прямой вывод: если вы монтируете видео, обрабатываете звук или готовите графику в приложениях Adobe, обновление снимает риск того, что «кривой» или намеренно вредоносный файл проекта скомпрометирует вашу машину. Особенно это важно для тех, кто регулярно принимает исходники со стороны — от заказчиков, со стоков, из открытых сообществ шаблонов.
Косвенно история напоминает более широкое правило файловой гигиены. Ровно тот же класс проблем мы разбирали на примере опасных вложений в форматах RAR, SVG и PDF: любая программа, через которую проходят входящие файлы, — потенциальная точка входа, если её вовремя не обновлять. Не имеет значения, что это — архиватор, просмотрщик PDF или профессиональный видеоредактор.
Практический принцип неизменен: софт, открывающий чужие файлы, держим в актуальном состоянии, а сами файлы из ненадёжных источников — под подозрением. Подробнее о проверке и безопасной работе с загрузками — в разделе безопасность файлов, а разбор популярных форматов и того, чем их открывать, собран в разделе форматы файлов.
Для большинства пользователей обновление проходит незаметно и не меняет привычную работу — это плановая правка безопасности, которую полезно накатить и не откладывать.