图片来源:
Adobe
Adobe本周发布安全更新,修补PDF软体Acrobat及Reader二项可允许执行任意程式码的重大漏洞。
这二项漏洞中,CVE-2024-41869为使用已释放记忆体(Use After Free)漏洞,CVE-2024-45112为型态混淆(Type Confusion)漏洞,即以不相容型态的讯息存取资源。Adobe并未详细说明漏洞影响,不过根据资安业者Tenable,二个漏洞都可能引发任意程式码执行。
虽然Adobe的安全公告将两漏洞CVSS风险值列为7.8和8.6,但Tenable公告显示二者CVSSv3 base score为9.8。
其中CVE-2024-41869为资安研究人员Haifei Li发现。他创立的沙箱恶意程式侦测和分析系统Expmon今年稍早接到大量遭植入概念验证攻击程式的PDF样本,意谓该软体漏洞为零时差漏洞。CVE-2024-45112则由不知名的研究人员通报。
受两漏洞影响的Adobe产品为Windows及macOS版的Acrobat Reader DC(Windows版24.003.20054及以前,MacOS版24.002.21005及以前)、Acrobat 2020及Acrobat Reader 2020(20.005.30655及以前版本),以及Acrobat 2024(24.001.30159及以前版本)。Adobe建议用户尽速更新软体到最新版本。