hangshao 2018-12-12
Adobe发布了39个关键漏洞的安全更新,这些漏洞影响了MacOS和Windows的Acrobat和Reader软件产品,这些漏洞可能允许潜在的攻击者在受感染的系统上执行任意代码。
36个关键堆溢出,越界写入,UAF漏洞 (Use After Free),不受信任的指针取消引用之后使用,最新的Acrobat和Reader版本中修复的缓冲区错误问题将允许在受感染的计算机上执行任意代码,而其中三个是安全绕过问题,这些问题会导致攻击后的权限升级。
如Adobe的APSB18-41安全公告中所述,受这些安全漏洞影响的版本包括Acrobat DC(Continuous,Classic 2015),Acrobat 2017,Acrobat Reader DC(Continuous,Classic 2015)和Acrobat Reader 2017。
Adobe在他们的支持网站上说,被评为“关键”的漏洞可能允许攻击者在成功利用这些漏洞后执行恶意代码,当前登录用户很可能不知道系统已被泄露。
此外,Adobe将三十九个关键安全问题评为优先级2,并且影响了历史上具有较高开发风险的产品。
“目前还没有已知的漏洞利用。根据以往的经验,我们预计攻击不会即将到来,”该公司也表示。 “作为最佳做法,Adobe建议管理员尽快安装更新(例如,在30天内)。”
Adobe还修补了49个导致信息披露的问题并被评为“重要”
同样重要的是要提到其他四十九个整数溢出,安全绕过以及信息披露结果的越界读取问题也在Acrobat和Reader中修补,并被评为“重要”。
根据Adobe的支持网站,“如果被利用会损害数据安全性,可能允许访问机密数据,或者可能危及用户计算机中的处理资源。”
建议使用适用于Windows和macOS的Acrobat和Reader应用程序的所有用户通过Adobe Flash Player下载中心或借助内置更新机制更新到修补版本。
一周前,Adobe还修补了一个跨平台的Flash Player零日漏洞,该漏洞被追踪为CVE-2018-15982,可能允许潜在的远程攻击者在安装运行时的易受攻击的计算机上触发执行任意代码。