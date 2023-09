Firma Adobe wydała niedawno aktualizacje zabezpieczeń eliminujące lukę dnia zerowego w aplikacjach Acrobat i Reader. Luka znana jako CVE-2023-26369 została wykorzystana w ograniczonych atakach i może mieć wpływ zarówno na systemy Windows, jak i macOS.

Krytyczna luka w zabezpieczeniach umożliwia atakującym wykonanie kodu poprzez wykorzystanie słabości zapisu poza zakresem. Chociaż ataki o niskiej złożoności można przeprowadzić bez konieczności posiadania uprawnień, należy pamiętać, że lukę mogą wykorzystać wyłącznie lokalni atakujący i wymaga ona interakcji użytkownika.

W odpowiedzi na powagę problemu firma Adobe sklasyfikowała CVE-2023-26369 z oceną maksymalnego priorytetu. Firma zdecydowanie zaleca administratorom jak najszybsze zainstalowanie aktualizacji zabezpieczeń, najlepiej w ciągu 72 godzin.

Do produktów, których dotyczy problem, należą Acrobat DC, Acrobat Reader DC, Acrobat 2020 i Acrobat Reader 2020. Pełną listę wersji, których dotyczy problem, można znaleźć w tabeli znajdującej się w oryginalnym artykule.

Ponadto firma Adobe naprawiła dzisiaj kilka innych luk w zabezpieczeniach. Te wady wpływają na oprogramowanie Adobe Connect i Adobe Experience Manager i mogą potencjalnie umożliwić atakującym wykonanie dowolnego kodu. Luki, znane jako CVE-2023-29305, CVE-2023-29306, CVE-2023-38214 i CVE-2023-38215, mogą zostać wykorzystane do przeprowadzenia ataków typu XSS (odbite skrypty krzyżowe). Ten typ ataku może zostać wykorzystany w celu uzyskania dostępu do poufnych informacji, takich jak pliki cookie i tokeny sesji przechowywane przez docelowe przeglądarki internetowe.

Bardzo ważne jest, aby użytkownicy oprogramowania Adobe zachowali czujność i niezwłocznie zainstalowali niezbędne aktualizacje zabezpieczeń, aby chronić swoje systemy przed potencjalnymi zagrożeniami.

Definicje:

– Luka dnia zerowego: luka w zabezpieczeniach nieznana dostawcy oprogramowania, która może zostać wykorzystana przez osoby atakujące przed udostępnieniem łatki lub poprawki.

– Wykonanie kodu: możliwość uruchomienia dowolnego kodu w docelowym systemie, co potencjalnie umożliwia osobie atakującej przejęcie kontroli nad systemem.

– Słabość zapisu poza granicami: błąd programistyczny umożliwiający osobie atakującej zapisanie danych poza granicami określonej lokalizacji w pamięci, co może prowadzić do wykonania złośliwego kodu.

– Cross-site scripting (XSS): rodzaj luki w zabezpieczeniach, która umożliwia atakującym wstrzykiwanie złośliwych skryptów na strony internetowe przeglądane przez użytkowników, co może prowadzić do kradzieży poufnych informacji.

