黑客针对Windows用户利用阅读器中的零日漏洞

六六传世原创文章投稿奖励计划

Adobe确认,影响Windows的Adobe Reader的零日漏洞已在有限的攻击中被广泛使用。
2021年5月的Adobe安全更新解决了Experience Manager,InDesign,Illustrator,InCopy,Adobe Genuine Service,Acrobat和Reader,Magento,Creative Cloud Desktop,Media Encoder,Medium和Animate中的至少43个CVE。通过ZDI程序报告了上述缺陷中的五个。

其中一个问题被跟踪为CVE-2021-28550,是一个用后使用的内存损坏漏洞,该漏洞影响了Adobe Reader for Windows,在有限的攻击中被野蛮利用。
“ Adobe已针对Windows和macOS发布了Adobe Acrobat和Reader的安全更新。这些更新解决了多个 关键 和  重要 漏洞。成功的利用可能导致当前用户上下文中的任意代码执行。” 阅读该软件巨头发布的建议。
“ Adobe已收到一份报告,表明CVE-2021-28550已在针对Windows上的Adobe Reader用户的有限攻击中被野蛮利用。”
Adobe没有提供有关攻击的技术细节,无论如何,攻击者可以通过诱骗受害者打开特制PDF来利用此问题。
微软还解决了Windows和MacOS平台的Adobe Acrobat和Reader中的11个安全漏洞。

在Acrobat和Reader中的漏洞列表下方:

该公司还解决了InDesign中的三个严重的越界写入问题(CVE-2021-21098,CVE-2021-21099,CVE-2021-21043),这些问题可能导致任意代码执行。
“ InDesign的更新也很出色。这些错误是由于缺乏对用户提供的数据的正确验证而导致的,这可能导致写操作超出分配的结构的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。” 报告ZDI。“除了一个Reader错误之外,Adobe在本月修补的其他漏洞中,没有一个被公认为是众所周知的,也没有在发行之时受到主动攻击。”
该公司还发布了更新程序,以修复InCopy和Genuine Service产品中的漏洞。

本原创,作者:张,其版权均为六六传世网所有。如需转载,请注明出处:http://66woool.com/77169kx/279615.html