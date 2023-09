By

Mae Adobe wedi rhyddhau diweddariadau diogelwch yn ddiweddar i fynd i'r afael â bregusrwydd dim diwrnod yn ei gymwysiadau Acrobat a Reader. Mae'r bregusrwydd, a elwir yn CVE-2023-26369, wedi'i ecsbloetio mewn ymosodiadau cyfyngedig a gall effeithio ar systemau Windows a macOS.

Mae'r diffyg diogelwch critigol yn caniatáu i ymosodwyr ennill gweithrediad cod trwy fanteisio ar wendid ysgrifennu y tu allan i ffiniau. Er y gellir cyflawni ymosodiadau cymhlethdod isel heb fod angen breintiau, mae'n bwysig nodi mai dim ond ymosodwyr lleol all fanteisio ar y bregusrwydd a bod angen rhyngweithio â defnyddwyr.

Mewn ymateb i ddifrifoldeb y mater, mae Adobe wedi dosbarthu CVE-2023-26369 gyda sgôr blaenoriaeth uchaf. Mae'r cwmni'n cynghori gweinyddwyr yn gryf i osod y diweddariad diogelwch cyn gynted â phosibl, yn ddelfrydol o fewn ffenestr 72 awr.

Mae'r cynhyrchion yr effeithir arnynt yn cynnwys Acrobat DC, Acrobat Reader DC, Acrobat 2020, ac Acrobat Reader 2020. Am restr gyflawn o'r fersiynau yr effeithir arnynt, cyfeiriwch at y tabl a ddarparwyd yn yr erthygl wreiddiol.

Yn ogystal, mae Adobe hefyd wedi mynd i'r afael â nifer o ddiffygion diogelwch eraill heddiw. Mae'r diffygion hyn yn effeithio ar feddalwedd Adobe Connect ac Adobe Experience Manager a gallant o bosibl ganiatáu i ymosodwyr gael gweithrediad cod mympwyol. Gellir manteisio ar y gwendidau, a elwir yn CVE-2023-29305, CVE-2023-29306, CVE-2023-38214, a CVE-2023-38215, i lansio ymosodiadau sgriptio traws-safle (XSS) a adlewyrchir. Gellir defnyddio'r math hwn o ymosodiad i gael mynediad at wybodaeth sensitif fel cwcis a thocynnau sesiwn sy'n cael eu storio gan y porwyr gwe targedig.

Mae'n hanfodol i ddefnyddwyr meddalwedd Adobe fod yn wyliadwrus a gosod y diweddariadau diogelwch angenrheidiol yn brydlon i amddiffyn eu systemau rhag bygythiadau posibl.

Diffiniadau:

- Bregusrwydd dim diwrnod: Gwendid diogelwch nad yw'n hysbys i'r gwerthwr meddalwedd ac y gall ymosodwyr ei ecsbloetio cyn bod clwt neu atgyweiriad ar gael.

- Gweithredu cod: Y gallu i redeg cod mympwyol ar system wedi'i thargedu, a allai ganiatáu i ymosodwr gymryd rheolaeth o'r system.

- Gwendid ysgrifennu y tu allan i ffiniau: Gwall rhaglennu sy'n caniatáu i ymosodwr ysgrifennu data y tu allan i ffiniau lleoliad cof penodol, a allai arwain at weithredu cod maleisus.

– Sgriptio traws-safle (XSS): Math o fregusrwydd diogelwch sy'n caniatáu i ymosodwyr chwistrellu sgriptiau maleisus i dudalennau gwe y mae defnyddwyr yn eu gweld, a allai arwain at ddwyn gwybodaeth sensitif.

