0
0
As vulnerabilidades de gravidade crítica do Adobe Acrobat e do Reader podem permitir a execução arbitrária de código e fazem parte de uma atualização de patch de 14 CVE.
A Adobe corrigiu falhas de gravidade crítica ligadas a quatro CVEs nas versões Windows e macOS de sua família Acrobat e Reader de serviços de software de aplicativos. As vulnerabilidades poderiam ser exploradas para executar código arbitrário em produtos afetados.
Essas falhas críticas incluem um estouro de buffer baseado em pilha (CVE-2020-24435), falha de gravação fora dos limites (CVE-2020-24436) e duas falhas gratuitas de uso (CVE-2020-24430 e CVE-2020-24437). Os bugs fazem parte dos patches regularmente programados da Adobe, que no geral corrigiram vulnerabilidades críticas, importantes e de gravidade moderada ligadas a 14 CVEs.
Normalmente, a Adobe lança suas atualizações regulares agendadas na segunda terça-feira do mês. No entanto, “Embora a Adobe se esforce para liberar atualizações regulares na terça-feira, ocasionalmente essas atualizações de segurança regularmente programadas são liberadas em datas de terça-feira não atualizadas”, disse um porta-voz da Adobe. “O lançamento em novembro de 2020 do Adobe Reader and Acrobat é um lançamento padrão do produto que inclui novos recursos de produtos, bem como correções para bugs e vulnerabilidades de segurança.”
Além de falhas de gravidade crítica, a Adobe também corrigiu vulnerabilidades de gravidade importante ligadas a seis CVEs. Estes incluem problemas que permitem a escalada de privilégios locais, incluindo uma falha de controle de acesso inadequada (CVE-2020-24433), um problema de desvio de verificação de assinatura (CVE-2020-24429) e uma falha na condição de corrida (CVE-2020-24428).
Outras falhas importantes de gravidade incluem dois problemas inadequados de validação de entrada, com um levando à execução arbitrária do JavaScript (CVE-2020-24432) e o outro que permite a divulgação de informações (CVE-2020-24427).
Outra falha importante de gravidade decorre de um desvio de recurso de segurança que poderia permitir a injeção dinâmica da biblioteca (CVE-2020-24431).
E, falhas de gravidade moderada vinculadas a quatro CVEs poderiam permitir a divulgação de informações (CVE-2020-24426, CVE-2020-24434, CVE-2020-24438) e bypass de verificação de assinaturas (CVE-2020-24439).
As versões afetadas incluem as versões Acrobat DC e Acrobat Reader DC Contínuas 2020.012.20048 e anteriores; (para Windows e macOS); Acrobat e Acrobat Reader Classic 2020 versões 2020.001.30005 e anteriores (para Windows e macOS) e Acrobat e Acrobat Reader Classic 2017 versões 2017.011.30175 e anteriores (para Windows e macOS).
Os usuários podem atualizar para a versão Acrobat DC e Acrobat Reader DC Contínua 2020.013.20064; Acrobat e Acrobat Reader Classic versão 2020 versão 2020.001.30010 e Acrobat e Acrobat Reader Classic versão 2017 2017.011.30180.
As falhas têm uma classificação “prioridade 2”, que, segundo a Adobe, resolve vulnerabilidades “em um produto que historicamente tem estado em risco elevado”.
“Atualmente, não há explorações conhecidas”, segundo a Adobe. “Com base na experiência anterior, não prevemos que as façanhas sejam iminentes. Como prática recomendada, a Adobe recomenda que os administradores instalem a atualização em breve (por exemplo, dentro de 30 dias).”
Os usuários podem atualizar as instalações de seus produtos manualmente escolhendo Ajuda > Verifique se há atualizações; no entanto, o produto também será atualizado automaticamente, sem exigir a intervenção do usuário, quando as atualizações forem detectadas.
Os patches de novembro vêm depois de um outubro movimentado para a Adobe. Depois de alertar sobre uma vulnerabilidade crítica em seu aplicativo Flash Player para usuários nos sistemas operacionais Windows, macOS, Linux e ChromeOS, a Adobe lançou no final do mês 18 patches de segurança fora da banda em 10 pacotes de software diferentes, incluindo correções para vulnerabilidades críticas que se estendem por todo o seu conjunto de produtos. Adobe Illustrator foi o mais atingido.
FONTE: THREATPOST