Adobe确认,影响Windows的Adobe Reader的零日漏洞已在有限的攻击中被广泛使用。
2021年5月的Adobe安全更新解决了Experience Manager,InDesign,Illustrator,InCopy,Adobe Genuine Service,Acrobat和Reader,Magento,Creative Cloud Desktop,Media Encoder,Medium和Animate中的至少43个CVE。通过ZDI程序报告了上述缺陷中的五个。
其中一个问题被跟踪为CVE-2021-28550,是一个“用后使用”的内存损坏漏洞,该漏洞影响了Adobe Reader for Windows,在有限的攻击中被广泛利用。
“ Adobe已针对Windows和macOS发布了Adobe Acrobat和Reader的安全更新。这些更新解决了多个关键和重要漏洞。成功的利用可能导致当前用户上下文中的任意代码执行。” 阅读该软件巨头发布的建议。
“ Adobe已收到一份报告,表明CVE-2021-28550已在针对Windows上的Adobe Reader用户的有限攻击中被野蛮利用。”
Adobe没有提供有关攻击的技术细节,无论如何,攻击者可以通过诱骗受害者打开特制PDF来利用此问题。
微软还解决了Windows和MacOS平台的Adobe Acrobat和Reader中的11个安全漏洞。
在Acrobat和Reader中的漏洞列表下方:
| 漏洞类别 | 漏洞影响 | 严重程度 | CVE编号 |
|---|---|---|---|
| 缓冲区溢出 | 任意代码执行 | 重要的 | CVE-2021-28561 |
| 基于堆的缓冲区溢出 | 任意代码执行 | 危急 | CVE-2021-28560 |
| 基于堆的缓冲区溢出 | 任意代码执行 | 重要的 | CVE-2021-28558 |
| 越界读取 | 内存泄漏 | 危急 | CVE-2021-28557 |
| 越界读取 | 任意文件系统读取 | 重要的 | CVE-2021-28555 |
| 越界读取 | 任意代码执行 | 危急 | CVE-2021-28565 |
| 越界写 | 任意代码执行 | 危急 | CVE-2021-28564 |
| 越界写 | 任意代码执行 | 危急 | CVE-2021-21044CVE-2021-21038CVE-2021-21086 |
| 公开私人信息 | 特权升级 | 重要的 | CVE-2021-28559 |
| 免费使用 | 任意代码执行 | 危急 | CVE-2021-28562CVE-2021-28550CVE-2021-28553 |
该公司还解决了InDesign中的三个严重的越界写入问题(CVE-2021-21098,CVE-2021-21099,CVE-2021-21043),这些问题可能导致任意代码执行。
“ InDesign的更新也很出色。这些错误是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致写操作超出分配的结构的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。” 报告ZDI。“除了一个Reader错误之外,Adobe在本月修补的其他漏洞中,没有一个被公认为是已知漏洞,也没有在发行之时受到主动攻击。”
Adobe已发布安全更新,以解决影响Windows和Mac版本的Acrobat DC,Acrobat Reader DC,Acrobat 2020,Acrobat Reader 2020,Acrobat 2017和Acrobat Reader 2017的漏洞。
*编译:Domino
*来自:securityaffairs