0
0
A Adobe abordou 14 vulnerabilidades em seus produtos Acrobat, incluindo falhas críticas que podem ser exploradas por invasores para execução arbitrária de código.
A Adobe abordou 14 vulnerabilidades em seus produtos Acrobat, incluindo falhas críticas que podem ser exploradas por invasores para execução arbitrária de código.
As vulnerabilidades impactam as versões Windows e macOS do Acrobat DC, Acrobat Reader DC, Acrobat 2020, Acrobat Reader 2020, Acrobat 2017 e Acrobat Reader 2017.
“A Adobe lançou atualizações de segurança para o Adobe Acrobat e Reader para Windows e macOS. Essas atualizações abordam vulnerabilidades críticas, importantes e moderadas. Uma exploração bem-sucedida pode levar à execução arbitrária de código no contexto do usuário atual.” lê a assessoria publicada pela empresa.
As quatro vulnerabilidades a seguir foram classificadas como gravidade crítica:
- CVE-2020-24435: Um estouro de buffer baseado em heap que pode levar a uma execução arbitrária de código no contexto do usuário-alvo.
- CVE-2020-24436: Uma gravação fora dos limites que pode levar a uma execução arbitrária de código no contexto do usuário-alvo.
- CVE-2020-24430, CVE-2020-24437: Questões de uso após o livremento que podem levar a uma execução arbitrária de código no contexto do usuário-alvo.
A Adobe abordou seis falhas importantes classificadas como importantes, rastreadas como CVE-2020-24433, CVE-2020-24432, CVE-2020-24429, CVE-2020-24427, CVE-2020-24431, CVE-2020-24428, que pode ser explorado para escalada de privilégio local, divulgação de informações, injeção de DLL e execução de código JavaScript.
As falhas foram descritas como controle de acesso inadequado, validação inadequada de entrada, desvio de verificação de assinatura, desvio de recurso de segurança e condição de corrida.
A gigante do software também corrigiu vulnerabilidades de gravidade moderada (CVE-2020-24439, CVE-2020-24426, CVE-2020-24434, CVE-2020-24438) que podem levar à divulgação de informações.
As falhas foram relatadas por pesquisadores independentes e especialistas da Cisco Talos, Computest, Danish Cyber Defense, Qihoo 360, Star Lab e Ruhr University Bochum, e Tencent,.
A boa notícia é que a Adobe não está ciente de nenhum ataque na natureza explorando essas vulnerabilidades e não espera que elas sejam exploradas em breve.
FONTE: SECURITY AFFAIRS