Adobe har for nylig udgivet sikkerhedsopdateringer for at løse en nul-dages sårbarhed i dets Acrobat- og Reader-applikationer. Sårbarheden, kendt som CVE-2023-26369, er blevet udnyttet i begrænsede angreb og kan påvirke både Windows- og macOS-systemer.

Den kritiske sikkerhedsfejl gør det muligt for angribere at opnå kodeudførelse ved at udnytte en skrivesvaghed uden for grænserne. Mens angreb med lav kompleksitet kan udføres uden at kræve privilegier, er det vigtigt at bemærke, at sårbarheden kun kan udnyttes af lokale angribere og kræver brugerinteraktion.

Som reaktion på problemets alvor har Adobe klassificeret CVE-2023-26369 med en maksimal prioritetsvurdering. Virksomheden råder kraftigt administratorer til at installere sikkerhedsopdateringen så hurtigt som muligt, ideelt set inden for et 72-timers vindue.

Berørte produkter omfatter Acrobat DC, Acrobat Reader DC, Acrobat 2020 og Acrobat Reader 2020. For en komplet liste over berørte versioner henvises til tabellen i den originale artikel.

Derudover har Adobe også rettet adskillige andre sikkerhedsfejl i dag. Disse fejl påvirker Adobe Connect og Adobe Experience Manager-softwaren og kan potentielt give angribere mulighed for at få vilkårlig kodekørsel. Sårbarhederne, kendt som CVE-2023-29305, CVE-2023-29306, CVE-2023-38214 og CVE-2023-38215, kan udnyttes til at starte reflekterede cross-site scripting (XSS)-angreb. Denne type angreb kan bruges til at få adgang til følsomme oplysninger såsom cookies og sessionstokens gemt af de målrettede webbrowsere.

Det er afgørende for brugere af Adobe-software at være på vagt og straks installere de nødvendige sikkerhedsopdateringer for at beskytte deres systemer mod potentielle trusler.

Definitioner:

– Zero-day sårbarhed: En sikkerhedssårbarhed, der er ukendt for softwareleverandøren og kan udnyttes af angribere, før en patch eller rettelse er tilgængelig.

– Kodekørsel: Evnen til at køre vilkårlig kode på et målrettet system, hvilket potentielt giver en angriber mulighed for at tage kontrol over systemet.

– Out-of-bounds skrivesvaghed: En programmeringsfejl, der gør det muligt for en hacker at skrive data uden for grænserne for en specifik hukommelsesplacering, hvilket potentielt kan føre til udførelse af ondsindet kode.

– Cross-site scripting (XSS): En type sikkerhedssårbarhed, der gør det muligt for angribere at injicere ondsindede scripts på websider, der ses af brugere, hvilket potentielt kan føre til tyveri af følsomme oplysninger.

kilder:

– Adobe Sikkerhedsrådgivning:

– Common Vulnerability Scoring System v3.1 (CVSS v3.1):