Adobe on hiljuti välja andnud turvavärskendused, et kõrvaldada oma Acrobati ja Readeri rakenduste nullpäevane haavatavus. Haavatavust, tuntud kui CVE-2023-26369, on kasutatud piiratud rünnakutes ja see võib mõjutada nii Windowsi kui ka macOS-i süsteeme.

Kriitiline turvaviga võimaldab ründajatel saada koodi täitmist, kasutades ära piirivälist kirjutamisnõrkust. Kuigi vähese keerukusega ründeid saab sooritada ilma privileege nõudmata, on oluline märkida, et haavatavust saavad ära kasutada ainult kohalikud ründajad ja see nõuab kasutaja sekkumist.

Vastuseks probleemi tõsidusele on Adobe klassifitseerinud CVE-2023-26369 maksimaalse prioriteedireitinguga. Ettevõte soovitab administraatoritel tungivalt installida turvavärskendus võimalikult kiiresti, ideaaljuhul 72-tunnise akna jooksul.

Mõjutatud toodete hulka kuuluvad Acrobat DC, Acrobat Reader DC, Acrobat 2020 ja Acrobat Reader 2020. Mõjutatud versioonide täieliku loendi leiate algses artiklis esitatud tabelist.

Lisaks on Adobe täna käsitlenud ka mitmeid muid turvavigu. Need vead mõjutavad Adobe Connecti ja Adobe Experience Manageri tarkvara ning võivad potentsiaalselt lubada ründajatel suvalise koodi täitmise. Turvaauke, mida nimetatakse CVE-2023-29305, CVE-2023-29306, CVE-2023-38214 ja CVE-2023-38215, saab ära kasutada peegeldatud saidiülese skriptimise (XSS) rünnakute käivitamiseks. Seda tüüpi rünnakut saab kasutada tundlikule teabele (nt küpsistele ja sihitud veebibrauserite salvestatud seansimärkidele) juurde pääsemiseks.

Adobe'i tarkvara kasutajate jaoks on ülioluline olla valvsad ja installida kiiresti vajalikud turvavärskendused, et kaitsta oma süsteeme võimalike ohtude eest.

Mõisted:

– Nullpäeva haavatavus: turvahaavatavus, mis on tarkvaramüüjale tundmatu ja mida ründajad saavad ära kasutada enne, kui plaaster või parandus on saadaval.

– Koodi täitmine: võimalus käitada sihitud süsteemis suvalist koodi, mis võib võimaldada ründajal süsteemi üle kontrolli haarata.

– Piiramatu kirjutamisnõrkus: programmeerimisviga, mis võimaldab ründajal kirjutada andmeid väljaspool kindla mälukoha piire, mis võib viia pahatahtliku koodi käivitamiseni.

– Saitidevaheline skriptimine (XSS): teatud tüüpi turvahaavatavus, mis võimaldab ründajatel sisestada kasutajate vaadatud veebilehtedele pahatahtlikke skripte, mis võib viia tundliku teabe varguseni.

