Adobe在本周一(5月14日)发布了适用于Windows和MacOS用户的Acrobat DC、Reader和Photoshop CC的最新版本,可修补其软件中的48个漏洞。
其中,共有47个漏洞影响Adobe Acrobat和Reader应用程序,并且在Adobe Photoshop CC中修补了一个严重的远程代码执行漏洞。
在影响Adobe Acrobat和Reader的47个漏洞中,有24个被评定为关键(Critical)漏洞,这些漏洞分别被归类为Double Free、Heap Overflow、Use-After-free、Out-of-bounds write、Type Confusion和Untrusted pointer dereference。如果被利用,将允许攻击者能够在目标用户的上下文中执行任意代码。
剩余的23个漏洞均被评定为重要(Important)漏洞,描述为安全绕过(Security Bypass)、越界读取(Out-of-bounds read)、内存破坏(Memory Corruption),NTLM SSO散列窃取(NTLM SSO hash theft)以及通过XFA提交的HTTP POST换行注入(HTTP POST new line injection via XFA submission),这可能会导致敏感信息泄露或安全验证绕过。
受上述漏洞影响的Adobe产品包括:Acrobat DC(Consumer和Classic 2015)、Acrobat Reader DC(Consumer和Classic 2015)以及Acrobat 2017和Acrobat Reader 2017的Windows和MacOS版本。
最新的Adobe Acrobat和Reader补丁已获得的优先级评级为“1”,这意味着这些漏洞要么已经被用于实际攻击活动,要么比其他漏洞容易被用于实际攻击活动。因此,Adobe强烈建议用户应尽快更新软件。
在Acrobat DC和Acrobat Reader DC版本2018.011.20040、Acrobat 2017和Acrobat Reader DC 2017.0.0 2017.011.30080以及Acrobat Reader DC(Classic 2015)和Acrobat DC(Classic 2015)版本2015.006.30418中这些漏洞已经全部得到解决。
除此之外,Adobe还为Windows和Mac OS版本的Photoshop CC 发布了安全补丁,以解决一个严重的漏洞,该漏洞被归类为“越界写入(Out-of-bounds write)”,可用于在当前用户的上下文中执行任意代码。
此漏洞(CVE-2018-4946)影响Photoshop CC 2018版本19.1.3及更早的19.x版本,以及Photoshop CC 2017版本18.1.3及更早的18.x版本。
根据安全公告的描述,这个漏洞是由趋势科技零日计划(Zero Day Initiative,ZDI)的研究员Giwan Go报告的,漏洞已在Photoshop CC 2018 19.1.4版本和Photoshop CC 2017 18.1.4版本中得到解决。
此更新的优先级评级为“3”,这意味着攻击者目前还没有针对利用该漏洞。不过,Adobe还是建议用户和管理员尽快安装最新版本。
网友评论