美國網絡安全和基礎設施安全局 (CISA) 在其已知利用漏洞目錄中添加了 5 個新漏洞 ,其中包括Adobe Acrobat Reader 中的一個高嚴重性漏洞 ( CVE-2023-21608 )(CVSS 評分:7.8)。

該漏洞屬于釋放后使用問題,利用該漏洞,攻擊者可以當前用戶的權限實現遠程代碼執行(RCE)。

“Adobe Acrobat Reader 版本 22.003.20282(及更早版本)、22.003.20281(及更早版本)和 20.005.30418(及更早版本)受到 Use After Free 漏洞的影響,該漏洞可能導致在當前用戶的上下文中執行任意代碼。利用此問題需要用戶交互,受害者必須打開惡意文件。”

Adobe于 2023 年 1 月解決了該漏洞,并且可在線獲取該問題的 PoC 漏洞利用代碼。

CISA 解決的其余問題是:

  • CVE-2023-20109  Cisco IOS 和 IOS XE 組加密傳輸 VPN越界寫入漏洞
  • CVE-2023-41763  Microsoft Skype for Business 權限升級漏洞
  • CVE-2023-36563  Microsoft WordPad 信息泄露漏洞
  • CVE-2023-44487  HTTP/2 快速重置攻擊漏洞

根據約束性操作指令 (BOD) 22-01:降低已知被利用漏洞的重大風險,FCEB 機構必須在截止日期前解決已識別的漏洞,以保護其網絡免受利用目錄中的缺陷的攻擊。

專家還建議私人組織審查目錄并解決其基礎設施中的漏洞。

CISA 命令聯邦機構在 2023 年 10 月 31 日之前修復此缺陷。

cisa 網絡安全 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接