A Adobe alerta sobre o zero-day crítico do Acrobat e do Reader explorado em ataques
13 de Setembro de 2023

A Adobe lançou atualizações de segurança para corrigir uma vulnerabilidade zero-day no Acrobat e Reader, que estão sendo exploradas em ataques.

Embora informações adicionais sobre os ataques ainda tenham que ser divulgadas, sabe-se que o zero-day afeta tanto os sistemas Windows quanto macOS.

"A Adobe está ciente de que o CVE-2023-26369 foi explorado em campo em ataques limitados visando o Adobe Acrobat e o Reader", disse a empresa em um comunicado de segurança publicado hoje.

A falha crítica de segurança é rastreada como CVE-2023-26369 e pode permitir que invasores executem código após explorarem com sucesso uma vulnerabilidade de escrita fora dos limites.

Embora os atores de ameaças possam explorá-la em ataques de baixa complexidade sem exigir privilégios, a falha só pode ser explorada por atacantes locais e também requer interação do usuário, de acordo com sua pontuação no CVSS v3.1.

O CVE-2023-26369 foi classificado pela Adobe com a maior prioridade, com a empresa aconselhando fortemente os administradores a instalarem a atualização o mais rápido possível, idealmente em uma janela de 72 horas.

A lista completa de produtos e versões afetados está na tabela abaixo.

Hoje, a Adobe corrigiu mais falhas de segurança que podem permitir que invasores executem código arbitrário em sistemas que executam software Adobe Connect e Adobe Experience Manager não corrigidos.

Os erros do Connect ( CVE-2023-29305 e CVE-2023-29306 ) e do Experience Manager ( CVE-2023-38214 e CVE-2023-38215 ) corrigidos hoje podem ser usados ​​para lançar ataques XSS (cross-site scripting) refletidos.

Eles podem ser explorados para acessar cookies, tokens de sessão ou outras informações sensíveis armazenadas pelos navegadores da web dos alvos.

Em julho, a Adobe lançou uma atualização de segurança de emergência para o ColdFusion para resolver um zero-day ( CVE-2023-38205 ) explorado em campo como parte de ataques limitados.

Dias depois, a CISA ordenou que as agências federais protegessem os servidores Adobe ColdFusion em suas redes contra o bug ativamente explorado até 10 de agosto.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...