Adobe vá lỗ hổng trong Adobe Reader bị khai thác trong thực tế

Adobe vừa phát hành các bản vá cho 50 lỗ hổng trên 6 sản phẩm của hãng, bao gồm một lỗ hổng zero-day trong Reader đã bị khai thác trên thực tế.

Lỗ hổng được đánh số CVE-2021-21017, do một nhà nghiên cứu ẩn danh báo cáo cho Adobe. Hãng này cho biết họ đã nhận được một báo cáo lỗ hổng đã bị “khai thác thực tế trong các cuộc tấn công nhắm vào người dùng Adobe Reader trên Windows”.

Có rất ít thông tin được chia sẻ về lỗ hổng zero-day này, nhưng Adobe cho biết đây là một lỗi tràn bộ đệm trong bộ nhớ heap cho phép thực thi mã tùy ý.

Lần cuối cùng Adobe vá lỗ hổng zero-day bị khai thác chủ động trong Reader là vào năm 2018.

PDF_0day.png


Ngoài ra, có 22 lỗ hổng đã được vá trong Acrobat và Reader, bao gồm 16 lỗ hổng nghiêm trọng có thể được khai thác để thực thi mã. Các lỗ hổng còn lại có thể dẫn đến leo thang đặc quyền và lộ lọt thông tin.

Các bản cập nhật cho nền tảng thương mại điện tử Magento xử lý 18 lỗ hổng, ba trong số này có thể bị khai thác mà không cần xác thực và không cần quyền quản trị, bao gồm các lỗi Reflected-XSS và Stored-XSS và một lỗi IDOR có thể cho phép kẻ tấn công truy cập các tài nguyên bị hạn chế. Tuy nhiên, chỉ có lỗi Stored-XSS được phân loại là nghiêm trọng.

Trong phần mềm Photoshop, Adobe đã vá 5 lỗi gây hỏng bộ nhớ nghiêm trọng có thể dẫn đến việc thực thi mã tùy ý và 1 lỗi tương tự trong phần mềm Animate, cùng với đó là 2 lỗi thực thi mã nghiêm trọng trong Illustrator.

Trong Dreamweaver, hãng cũng đã khắc phục một lỗ hổng gây lộ lọt thông tin.

Adobe cho biết không có bất kỳ bằng chứng nào cho thấy tin tặc khai thác các lỗi này trong Magento, Photoshop, Animate, Illustrator và Dreamweaver và dựa trên xếp hạng mức độ nghiêm trọng của lỗ hổng, Adobe mong rằng chúng không phải là mục tiêu của tin tặc.

sưu tầm