Krytyczne podatności w produktach Adobe – patchuj teraz!

12 maja 2021, 17:45 | W biegu | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Adobe wypuściło aktualizację zabezpieczeń do wielu swoich produktów. Poprawkami zostały objęły między innymi Adobe Acrobat Reader, Adobe Illustrator, Adobe Medium, Adobe After Effects, Adobe InCopy czy Adobe Experience Manager:

Ponadto podatność CVE-2021-28550 była aktywnie wykorzystywana “w dziczy” do atakowania użytkowników Adobe Readera. Aby wykorzystać podatność, atakujący musiał nakłonić ofiarę do otworzenia spreparowanego złośliwego pliku PDF.

* Lista załatanych podatności w Adobe Reader

Jedna z zalatanych podatności (CVE-2021-28562) została odkryta i zgłoszona przez badacza Aleksandra Nikolica. Tak prezentuje się PoC potrzebny do wyzwolenia podatności: 

Warto dodać, że w lutym tego roku Adobe wypuściło też  łatki do swoich produktów, w tym łatkę do podatności CVE-2021-21017, która również była wykorzystywana “w dziczy” i pozwalała na zdalne wykonanie kodu na urządzeniu ofiary. Tak duża liczba podatności nasuwa pytanie, czy Adobe Reader został godnym następcą Adobe Flash Playera…

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jacek

    Mam wrażenie że programiści z flashplayera przeszli do działu Acrobata

    Odpowiedz
  2. Pawel

    Ja mam inne wrażenie, że z powodu usunięcia Flash, nie „badają” już jego tylko wzięli się za kolejny co do popularności produkt czyli Acrobat Reader.

    Odpowiedz
  3. akro bat na Adobe

    Od bardzo dawna (co najmniej kilkanascie lat) Acrobat Reader jest zagrozeniem. Nie tykam go nawet kijem.

    SumatraPDF daje rade i nie zatyka zasobow.

    Odpowiedz
    • Może i nie zatyka zasobów, ale… ma bardzo małą funkcjonalność. Brakuje mi w nim możliwości zaznaczania tekstu – gdy będę chciał sobie dokończyć np. czytanie, to muszę wpisać w notatnik. Brakuje mi w nim możliwości „lekkiego” edytowania – czyli pisania tekstu i „zamazywania”. A takie coś jest w Acrobacie pod funkcją Podpisz dokument. Mogę też w nim dodawać notatki. Takiego czegoś nie ma w Sumatrze (chyba że później zostały te funkcjonalności dodane), co oznacza, że Adobe prowadzi monopolistyczną i niedozwoloną praktykę rynkową.

      Odpowiedz
      • Sumatra

        „gdy będę chciał sobie dokończyć np. czytanie, to muszę wpisać w notatnik”.

        Sumatra pamieta miejsce „czytania”. Po ponownym otwarciu PDF-u sama ustawia plik w ostatnio czytanym miejscu.

        Fajne jest tez to, ze pameta ustawienia widoku (czy ma byc otwarta lewa szpalta z „zakladkami” (spisem tresci), czy nie oraz jakie ma byc powiekszenie stron.

        Mozliwosci ma mniejsze niz Acrobat, wiadomo. Ale i mniejsze ryzyko naruszenia bezpieczenstwa :-).

        Odpowiedz

Odpowiedz