Ang Adobe ay naglabas kamakailan ng mga update sa seguridad upang matugunan ang isang zero-day na kahinaan sa mga Acrobat at Reader application nito. Ang kahinaan, na kilala bilang CVE-2023-26369, ay pinagsamantalahan sa mga limitadong pag-atake at maaaring makaapekto sa parehong Windows at macOS system.

Ang kritikal na kapintasan sa seguridad ay nagbibigay-daan sa mga umaatake na makakuha ng pagpapatupad ng code sa pamamagitan ng pagsasamantala sa isang out-of-bounds na kahinaan sa pagsulat. Habang ang mga low-complexity na pag-atake ay maaaring isagawa nang hindi nangangailangan ng mga pribilehiyo, mahalagang tandaan na ang kahinaan ay maaari lamang pagsamantalahan ng mga lokal na umaatake at nangangailangan ng pakikipag-ugnayan ng user.

Bilang tugon sa kalubhaan ng isyu, inuri ng Adobe ang CVE-2023-26369 na may pinakamataas na priyoridad na rating. Mahigpit na pinapayuhan ng kumpanya ang mga administrator na i-install ang pag-update ng seguridad sa lalong madaling panahon, sa isip sa loob ng 72-oras na window.

Kabilang sa mga apektadong produkto ang Acrobat DC, Acrobat Reader DC, Acrobat 2020, at Acrobat Reader 2020. Para sa kumpletong listahan ng mga apektadong bersyon, mangyaring sumangguni sa talahanayang ibinigay sa orihinal na artikulo.

Bukod pa rito, natugunan din ng Adobe ang ilang iba pang mga bahid sa seguridad ngayon. Ang mga kapintasan na ito ay nakakaapekto sa software ng Adobe Connect at Adobe Experience Manager at posibleng payagan ang mga umaatake na makakuha ng arbitrary na code execution. Ang mga kahinaan, na kilala bilang CVE-2023-29305, CVE-2023-29306, CVE-2023-38214, at CVE-2023-38215, ay maaaring gamitin upang ilunsad ang mga sinasalamin na cross-site scripting (XSS) na pag-atake. Ang ganitong uri ng pag-atake ay maaaring gamitin upang ma-access ang sensitibong impormasyon tulad ng cookies at mga token ng session na inimbak ng mga naka-target na web browser.

Napakahalaga para sa mga gumagamit ng Adobe software na manatiling mapagbantay at agad na i-install ang mga kinakailangang update sa seguridad upang maprotektahan ang kanilang mga system mula sa mga potensyal na banta.

Kahulugan:

– Zero-day na kahinaan: Isang kahinaan sa seguridad na hindi alam ng vendor ng software at maaaring pagsamantalahan ng mga umaatake bago magkaroon ng patch o pag-aayos.

– Pagpapatupad ng code: Ang kakayahang magpatakbo ng di-makatwirang code sa isang naka-target na system, na posibleng magpapahintulot sa isang umaatake na kontrolin ang system.

– Out-of-bounds write weakness: Isang programming error na nagpapahintulot sa isang attacker na magsulat ng data sa labas ng mga hangganan ng isang partikular na lokasyon ng memorya, na posibleng humahantong sa pagpapatupad ng malisyosong code.

– Cross-site scripting (XSS): Isang uri ng kahinaan sa seguridad na nagbibigay-daan sa mga umaatake na magpasok ng mga nakakahamak na script sa mga web page na tinitingnan ng mga user, na posibleng humantong sa pagnanakaw ng sensitibong impormasyon.

Pinagmumulan:

– Adobe Security Advisory:

– Karaniwang Vulnerability Scoring System v3.1 (CVSS v3.1):