攻擊者利用 Adobe 嚴重漏洞針對 Windows 用戶
Adobe警告一個嚴重的漏洞,該漏洞已被廣泛利用以針對Windows上的Adobe Reader用戶。
根據Adobe周二的通報,該漏洞(CVE-2021-21017)已在“有限攻擊”中被利用,該漏洞是其定期計劃的二月份更新的一部分。有問題的漏洞是基于嚴重性堆的緩沖區溢出漏洞。
當用于存儲動態變量(堆)的進程內存區域不堪重負時,就會發生這種類型的緩沖區溢出漏洞。如果發生緩沖區溢出,通常會導致受影響的程序行為不正確。特別是有了這個漏洞,就可以利用它來在受影響的系統上執行任意代碼。
“ Adobe已針對Windows和macOS發布了Adobe Acrobat和Reader的安全更新,” Adobe周二表示。這些更新解決了多個關鍵和重要漏洞。成功的利用可能導致當前用戶上下文中的任意代碼執行。”
Adobe Flaw:安全更新
Acrobat是Adobe流行的應用程序軟件和Web服務系列,用于查看,創建和管理文件。匿名報告的CVE-2021-21017影響以下Adobe Acrobat Reader版本:
- 適用于Windows和macOS的Acrobat Reader DC版本2020.013.20074及更早版本
- 適用于Windows和macOS的Acrobat Reader 2020版本2020.001.30018及更早版本
- 適用于Windows和macOS的Acrobat Reader 2017版本2017.011.30188及更早版本
該漏洞已在以下版本中修復:
- Acrobat Reader DC版本2021.001.20135
- Acrobat Reader 2020版本2020.001.30020
- Acrobat Reader 2017版本2017.011.30190
這些補丁程序的優先級為1,根據Adobe的說法,它們解決了“針對給定產品版本和平臺的野外利用,目標針對的漏洞或具有較高目標風險的漏洞”。
“ Adobe建議管理員盡快安裝更新。(例如,72小時內),”根據其更新。
其他Adobe Acrobat和Reader的嚴重漏洞
包括此漏洞在內,Adobe修補了與Acrobat和Reader中的23個CVE相關的漏洞,其中包括17個關鍵嚴重CVE。
這些嚴重漏洞中的大多數都可能允許任意代碼執行,包括路徑遍歷故障(CVE-2021-21037),整數溢出錯誤(CVE-2021-21036)和越界寫入問題(CVE-2021-21044, CVE-2021-21038)。還修復了緩沖區溢出漏洞(CVE-2021-21058,CVE-2021-21059,CVE-2021-21062,CVE-2021-21063)和免費試用后錯誤(CVE-2021-21041,CVE-2021-21040) ,CVE-2021-21039,CVE-2021-21035,CVE-2021-21033,CVE-2021-21028和CVE-2021-21021)。
還修補了嚴重的不當訪問控制漏洞(CVE-2021-21045),該漏洞允許執行特權。
Magento安全更新
除了Acrobat和Reader安全更新外,Adobe還發布了針對其電子商務平臺Magento中嚴重漏洞的補丁程序。
作為此安全更新的一部分,修補了七個嚴重漏洞。如果利用所有這些漏洞,可能會導致任意代碼執行。這些漏洞包括三個安全旁路問題(CVE-2021-21015,CVE-2021-21016和CVE-2021-21025),命令注入漏洞(CVE-2021-21018),XML注入漏洞(CVE-2021-21019) ,文件上傳允許列表繞過(CVE-2021-21014)和跨站點腳本漏洞(CVE-2021-21030)。
受影響的是Magento Commerce和Magento開源2.4.1和更早版本(已在2.4.2中修復);2.4.0-p1和更早版本(在2.4.1-p1中已修復)和2.3.6和更早版本(在2.3.6-p1中已修復)。
該更新的優先級為2,根據Adobe的說法,該級別“解決了歷史上風險較高的產品中的漏洞”。
Magento將被歸類為“高風險”,因為像Magecart威脅組織這樣的攻擊者通常將Magento定位為針對電子商務商店的網絡掠奪等網絡攻擊。但是,Adobe說,目前還沒有針對這些漏洞的已知利用。
Adobe產品中的其他安全漏洞
Adobe周二還修復了Adobe Photoshop(CVE-2021-21049,CVE-2021-21050,CVE-2021-21048,CVE-2021-21051和CVE-2021-21047),Adobe Animate(CVE-2021)中的嚴重性漏洞-21052)和Adobe Illustrator(CVE-2021-21053,CVE-2021-21054)。
但是,這些修補程序的優先級為3級,這意味著它們可以解決產品“過去從未成為攻擊者的目標”的漏洞。
對于這些漏洞,根據安全更新,“ Adobe建議管理員自行決定安裝更新”。
Adobe的2月份修復程序緊隨1月份繁忙的安全更新之后,當時該公司修復了7個關鍵漏洞。這些缺陷中最嚴重的影響范圍從任意代碼執行到敏感信息泄露。
