Adobe исправила критическую уязвимость «нулевого дня» в Acrobat и Reader, используемую в реальных атаках

Несмотря на то, что дополнительная информация об атаках пока не раскрывается, известно, что уязвимость затрагивает системы Windows и macOS.

В бюллетени безопасности компания сообщает:

Adobe известно, что уязвимость CVE-2023-26369 использовалась в ограниченных атаках на Adobe Acrobat и Reader.

Критическая уязвимость запрещенной записи с идентификатором CVE-2023-26369  позволяет злоумышленникам выполнять произвольный код после успешной эксплуатации.

Эксплуатация возможна только локальными злоумышленниками, хотя повышенные привилегий не обязательны. Кроме того, требуется взаимодействие с пользователем.

Уязвимость получила максимальный рейтинг опасности. Администраторам рекомендуется как можно скорее установить патч.

Уязвимость затрагивает следующие продукты:

• Acrobat DC 23.003.20284 и более ранние версии
• Acrobat Reader DC 23.003.20284 и более ранние версии
• Acrobat 2020 Classic 2020 20.005.30516 (Mac) и более ранние версии, 20.005.30514 (Win) и более ранние версии
• Acrobat Reader 2020 Classic 2020: 20.005.30516 (Mac) и более ранние версии, 20.005.30514 (Win) и более ранние версии

Сегодня Adobe исправила и другие ошибки безопасности, позволяющие злоумышленникам выполнять произвольный код в системах с Adobe Connect и Adobe Experience Manager.

Патчи против уязвимостей Connect (CVE-2023-29305 и CVE-2023-29306) и Experience Manager (CVE-2023-38214 и CVE-2023-38215) могут использоваться для отражения атак межсайтового скриптинга (XSS).

С помощью этих уязвимостей можно получить доступ к файлам cookie, маркерам сеансов и другой конфиденциальной информации в браузере пользователя.

В июле компания Adobe выпустила экстренное обновление безопасности ColdFusion для устранения уязвимости «нулевого дня» (CVE-2023-38205), используемой в ограниченных атаках.