一、基本情况
近日,监测发现Adobe发布安全更新通告,更新修复了Adobe Acrobat和Adobe Reader存在的14个安全漏洞,其中10个漏洞被Adobe标记为严重级别,4个漏洞被标记为重要级别。此外,通告指出CVE-2021-28550已经在外部被利用,对Windows设备上的Adobe Reader进行了有限的攻击。攻击者可利用漏洞执行任意代码,或造成内存泄露等潜在的安全问题。建议受影响用户及时升级至新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
1.Acrobat Reader UAF漏洞(CVE-2021-28550/28562/28553):
攻击者可利用以上漏洞将精心制造的PDF发送给受影响的Acrobat或Reader用户,从而直接造成任意代码执行,获得终端控制权。
2.Acrobat Reader内存越界写漏洞(CVE-2021-21044/21038/21086):
攻击者利用漏洞通过提供精心构造的数据,可在当前进程的上下文中执行代码。
3.Acrobat Reader内存越界写漏洞(CVE-2021-28564):
攻击者利用漏洞通过提供精心构造的数据,可在当前进程的上下文中执行代码。
4.CVE-2021-28565: Acrobat Reader内存越界读漏洞(CVE-2021-28565):
攻击者利用漏洞通过提供精心构造的数据,可在当前进程的上下文中执行代码。
5.CVE-2021-28557: Acrobat Reader内存越界读漏洞(CVE-2021-28557):
攻击者利用漏洞通过提供精心构造的数据,可造成内存泄露。
6.CVE-2021-28560: Acrobat Reader缓冲区溢出漏洞(CVE-2021-28560):
攻击者利用漏洞通过提供精心构造的数据,可造成任意代码执行。
四、 影响范围
Acrobat Reader DC <=2021.001.20150
Acrobat DC <=2021.001.20149
Acrobat Reader DC <=2021.001.20149
Acrobat 2020 <=2020.001.30020
Acrobat Reader 2020 <=2020.001.30020
Acrobat 2017 <=2017.011.30194
Acrobat Reader 2017 <=2017.011.30194
五、 安全建议
目前官方已发布相关产品的最新版本进行漏洞修复,建议用户及时进行升级安装。
https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
来源:https://cstis.cn/post/382738bc-1e02-60c2-4ca3-63a2389c2088