Adobe het onlangs sekuriteitsopdaterings vrygestel om 'n nul-dag-kwesbaarheid in sy Acrobat- en Reader-toepassings aan te spreek. Die kwesbaarheid, bekend as CVE-2023-26369, is uitgebuit in beperkte aanvalle en kan beide Windows- en macOS-stelsels beïnvloed.

Die kritieke sekuriteitsfout stel aanvallers in staat om kode-uitvoering te verkry deur 'n skryfswakheid buite die grense te ontgin. Terwyl lae-kompleksiteit aanvalle uitgevoer kan word sonder om voorregte te vereis, is dit belangrik om daarop te let dat die kwesbaarheid slegs deur plaaslike aanvallers uitgebuit kan word en gebruikersinteraksie vereis.

In reaksie op die erns van die probleem, het Adobe CVE-2023-26369 met 'n maksimum prioriteitgradering geklassifiseer. Die maatskappy raai administrateurs sterk aan om die sekuriteitsopdatering so gou moontlik te installeer, ideaal binne 'n 72-uur-venster.

Geaffekteerde produkte sluit in Acrobat DC, Acrobat Reader DC, Acrobat 2020 en Acrobat Reader 2020. Vir 'n volledige lys van geaffekteerde weergawes, verwys asseblief na die tabel wat in die oorspronklike artikel verskaf word.

Boonop het Adobe ook vandag verskeie ander sekuriteitsfoute aangespreek. Hierdie foute raak Adobe Connect- en Adobe Experience Manager-sagteware en kan aanvallers moontlik toelaat om arbitrêre kode-uitvoering te verkry. Die kwesbaarhede, bekend as CVE-2023-29305, CVE-2023-29306, CVE-2023-38214, en CVE-2023-38215, kan uitgebuit word om weerspieëlde kruiswerfskrifaanvalle (XSS) te loods. Hierdie tipe aanval kan gebruik word om toegang te verkry tot sensitiewe inligting soos koekies en sessie-tokens wat deur die geteikende webblaaiers gestoor word.

Dit is van kardinale belang vir gebruikers van Adobe-sagteware om waaksaam te bly en die nodige sekuriteitsopdaterings stiptelik te installeer om hul stelsels teen potensiële bedreigings te beskerm.

Definisies:

– Zero-day-kwesbaarheid: 'n Sekuriteitskwesbaarheid wat onbekend is aan die sagtewareverskaffer en deur aanvallers uitgebuit kan word voordat 'n regstelling of regstelling beskikbaar is.

– Kode-uitvoering: Die vermoë om arbitrêre kode op 'n geteikende stelsel uit te voer, wat moontlik 'n aanvaller toelaat om beheer oor die stelsel te neem.

– Buite-grens skryfswakheid: 'n Programmeringsfout wat 'n aanvaller toelaat om data buite die grense van 'n spesifieke geheue-ligging te skryf, wat moontlik lei tot die uitvoering van kwaadwillige kode.

– Cross-site scripting (XSS): 'n Soort sekuriteitskwesbaarheid wat aanvallers toelaat om kwaadwillige skrifte in te spuit in webblaaie wat deur gebruikers bekyk word, wat moontlik tot die diefstal van sensitiewe inligting kan lei.

Bronne:

– Adobe Sekuriteitsadvies:

– Algemene kwesbaarheidtellingstelsel v3.1 (CVSS v3.1):