Компания Adobe выпустила обновления безопасности для исправления уязвимости нулевого дня в Acrobat и Reader, которая была отмечена как используемая в атаках.
Несмотря на то, что дополнительная информация об атаках пока не раскрывается, известно, что "нулевой день" затрагивает системы как Windows, так и macOS.
"Adobe известно, что CVE-2023-26369 был использован в ограниченных атаках на Adobe Acrobat и Reader, - говорится в опубликованном сегодня сообщении компании.
Критический недостаток безопасности отслеживается как CVE-2023-26369 и позволяет злоумышленникам получить возможность выполнения кода после успешной эксплуатации уязвимости запрещенной записи.
В то время как угрожающие субъекты могут использовать его в атаках низкой сложности, не требующих привилегий, дефект может быть использован только локальными злоумышленниками, а также требует взаимодействия с пользователем, согласно оценке CVSS v3.1.
CVE-2023-26369 получила максимальный приоритет, и компания настоятельно рекомендует администраторам установить обновление как можно скорее, в идеале в течение 72 часов.
Полный список затронутых продуктов и версий приведен ниже.
- Acrobat DC Continuous - 23.003.20284 и более ранние версии
- Acrobat Reader DC Continuous - 23.003.20284 и более ранние версии
- Acrobat 2020 Classic 2020 - 20.005.30516 (Mac) и ранее 20.005.30514 (Win) и ранее
- Acrobat Reader 2020 Classic 2020 - 20.005.30516 (Mac) и ранее 20.005.30514 (Win) и ранее
Сегодня компания Adobe устранила новые недостатки в системе безопасности, которые могут позволить злоумышленникам получить возможность выполнения произвольного кода на системах с непропатченным ПО Adobe Connect и Adobe Experience Manager.
Устраненные сегодня ошибки в Connect (CVE-2023-29305 и CVE-2023-29306) и Experience Manager (CVE-2023-38214 и CVE-2023-38215) могут быть использованы для проведения отраженных межсайтовых скриптовых атак (XSS).
С их помощью можно получить доступ к файлам cookie, маркерам сеансов и другой конфиденциальной информации, хранящейся в браузере пользователя.
В июле компания Adobe выпустила экстренное обновление безопасности ColdFusion для устранения "нулевого дня" (CVE-2023-38205), использовавшегося в ограниченных атаках.
Несколько дней спустя CISA предписала федеральным агентствам до 10 августа обеспечить защиту серверов Adobe ColdFusion в своих сетях от активно эксплуатируемой ошибки.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!