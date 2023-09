By

A Adobe lançou recentemente atualizações de segurança para solucionar uma vulnerabilidade de dia zero em seus aplicativos Acrobat e Reader. A vulnerabilidade, conhecida como CVE-2023-26369, foi explorada em ataques limitados e pode afetar sistemas Windows e macOS.

A falha crítica de segurança permite que os invasores obtenham a execução de código explorando uma fraqueza de gravação fora dos limites. Embora ataques de baixa complexidade possam ser executados sem a necessidade de privilégios, é importante observar que a vulnerabilidade só pode ser explorada por invasores locais e requer interação do usuário.

Em resposta à gravidade do problema, a Adobe classificou CVE-2023-26369 com classificação de prioridade máxima. A empresa aconselha fortemente os administradores a instalar a atualização de segurança o mais rápido possível, de preferência dentro de um período de 72 horas.

Os produtos afetados incluem Acrobat DC, Acrobat Reader DC, Acrobat 2020 e Acrobat Reader 2020. Para obter uma lista completa das versões afetadas, consulte a tabela fornecida no artigo original.

Além disso, a Adobe também corrigiu várias outras falhas de segurança hoje. Essas falhas afetam o software Adobe Connect e Adobe Experience Manager e podem permitir que invasores obtenham execução arbitrária de código. As vulnerabilidades, conhecidas como CVE-2023-29305, CVE-2023-29306, CVE-2023-38214 e CVE-2023-38215, podem ser exploradas para lançar ataques refletidos de cross-site scripting (XSS). Este tipo de ataque pode ser usado para acessar informações confidenciais, como cookies e tokens de sessão armazenados pelos navegadores visados.

É crucial que os usuários do software Adobe permaneçam vigilantes e instalem imediatamente as atualizações de segurança necessárias para proteger seus sistemas contra ameaças potenciais.

Definições:

– Vulnerabilidade de dia zero: Uma vulnerabilidade de segurança desconhecida pelo fornecedor do software e que pode ser explorada por invasores antes que um patch ou correção esteja disponível.

– Execução de código: A capacidade de executar código arbitrário em um sistema visado, permitindo potencialmente que um invasor assuma o controle do sistema.

– Fraqueza de gravação fora dos limites: um erro de programação que permite que um invasor grave dados fora dos limites de um local de memória específico, levando potencialmente à execução de código malicioso.

– Cross-site scripting (XSS): Um tipo de vulnerabilidade de segurança que permite que invasores injetem scripts maliciosos em páginas da Web visualizadas pelos usuários, levando potencialmente ao roubo de informações confidenciais.

