攻击者利用 Adobe 严重漏洞针对 Windows 用户

Andrew 2021-02-11
专栏 - 资讯 发布于 2021-02-11 12:33:27 阅读 169 评论 0

Adobe警告一个严重的漏洞,该漏洞已被广泛利用以针对Windows上的Adobe Reader用户。

根据Adobe周二的通报,该漏洞(CVE-2021-21017)已在“有限攻击”中被利用,该漏洞是其定期计划的二月份更新的一部分。有问题的漏洞是基于严重性堆的缓冲区溢出漏洞。

当用于存储动态变量(堆)的进程内存区域不堪重负时,就会发生这种类型的缓冲区溢出漏洞。如果发生缓冲区溢出,通常会导致受影响的程序行为不正确。特别是有了这个漏洞,就可以利用它来在受影响的系统上执行任意代码。

“ Adobe已针对Windows和macOS发布了Adobe Acrobat和Reader的安全更新,” Adobe周二表示。这些更新解决了多个关键和重要漏洞。成功的利用可能导致当前用户上下文中的任意代码执行。”

Adobe Flaw:安全更新

Acrobat是Adobe流行的应用程序软件和Web服务系列,用于查看,创建和管理文件。匿名报告的CVE-2021-21017影响以下Adobe Acrobat Reader版本:

  • 适用于Windows和macOS的Acrobat Reader DC版本2020.013.20074及更早版本
  • 适用于Windows和macOS的Acrobat Reader 2020版本2020.001.30018及更早版本
  • 适用于Windows和macOS的Acrobat Reader 2017版本2017.011.30188及更早版本

该漏洞已在以下版本中修复:

  • Acrobat Reader DC版本2021.001.20135
  • Acrobat Reader 2020版本2020.001.30020
  • Acrobat Reader 2017版本2017.011.30190

这些补丁程序的优先级为1,根据Adobe的说法,它们解决了“针对给定产品版本和平台的野外利用,目标针对的漏洞或具有较高目标风险的漏洞”。

“ Adobe建议管理员尽快安装更新。(例如,72小时内),”根据其更新。

其他Adobe Acrobat和Reader的严重漏洞

包括此漏洞在内,Adobe修补了与Acrobat和Reader中的23个CVE相关的漏洞,其中包括17个关键严重CVE。

这些严重漏洞中的大多数都可能允许任意代码执行,包括路径遍历故障(CVE-2021-21037),整数溢出错误(CVE-2021-21036)和越界写入问题(CVE-2021-21044, CVE-2021-21038)。还修复了缓冲区溢出漏洞(CVE-2021-21058,CVE-2021-21059,CVE-2021-21062,CVE-2021-21063)和免费试用后错误(CVE-2021-21041,CVE-2021-21040) ,CVE-2021-21039,CVE-2021-21035,CVE-2021-21033,CVE-2021-21028和CVE-2021-21021)。

还修补了严重的不当访问控制漏洞(CVE-2021-21045),该漏洞允许执行特权。

Magento安全更新

除了Acrobat和Reader安全更新外,Adobe还发布了针对其电子商务平台Magento中严重漏洞的补丁程序。

作为此安全更新的一部分,修补了七个严重漏洞。如果利用所有这些漏洞,可能会导致任意代码执行。这些漏洞包括三个安全旁路问题(CVE-2021-21015,CVE-2021-21016和CVE-2021-21025),命令注入漏洞(CVE-2021-21018),XML注入漏洞(CVE-2021-21019) ,文件上传允许列表绕过(CVE-2021-21014)和跨站点脚本漏洞(CVE-2021-21030)。

受影响的是Magento Commerce和Magento开源2.4.1和更早版本(已在2.4.2中修复);2.4.0-p1和更早版本(在2.4.1-p1中已修复)和2.3.6和更早版本(在2.3.6-p1中已修复)。

该更新的优先级为2,根据Adobe的说法,该级别“解决了历史上风险较高的产品中的漏洞”。

Magento将被归类为“高风险”,因为像Magecart威胁组织这样的攻击者通常将Magento定位为针对电子商务商店的网络掠夺等网络攻击。但是,Adobe说,目前还没有针对这些漏洞的已知利用。

Adobe产品中的其他安全漏洞

Adobe周二还修复了Adobe Photoshop(CVE-2021-21049,CVE-2021-21050,CVE-2021-21048,CVE-2021-21051和CVE-2021-21047),Adobe Animate(CVE-2021)中的严重性漏洞-21052)和Adobe Illustrator(CVE-2021-21053,CVE-2021-21054)。

但是,这些修补程序的优先级为3级,这意味着它们可以解决产品“过去从未成为攻击者的目标”的漏洞。

对于这些漏洞,根据安全更新,“ Adobe建议管理员自行决定安装更新”。

Adobe的2月份修复程序紧随1月份繁忙的安全更新之后,当时该公司修复了7个关键漏洞。这些缺陷中最严重的影响范围从任意代码执行到敏感信息泄露。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!