CISA Alerta sobre Vulnerabilidade Ativamente Explorada no Adobe Acrobat Reader
13 de Outubro de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na terça-feira uma falha de alta gravidade no Adobe Acrobat Reader ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), citando evidências de exploração ativa.

Rastreada como CVE-2023-21608 (pontuação CVSS: 7.8), a vulnerabilidade foi descrita como um bug de uso após o livre que pode ser explorado para realizar execução remota de código (RCE) com os privilégios do usuário atual.

Um patch para a falha foi lançado pela Adobe em janeiro de 2023.

Os pesquisadores de segurança da HackSys, Ashfaq Ansari e Krishnakant Patil, foram creditados por descobrir e relatar a falha.

As seguintes versões do software são impactadas -

Acrobat DC - 22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores (corrigido na 22.003.20310)

Acrobat Reader DC - 22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores (corrigido na 22.003.20310)

Acrobat 2020 - 20.005.30418 e versões anteriores (corrigido na 20.005.30436)
Acrobat Reader 2020 - 20.005.30418 e versões anteriores (corrigido na 20.005.30436)

Detalhes sobre a natureza da exploração e os atores de ameaças que podem estar abusando do CVE-2023-21608 são atualmente desconhecidos.

Uma prova-de-conceito (PoC) de exploração para a falha foi disponibilizada no final de janeiro de 2023.

O CVE-2023-21608 é também a segunda vulnerabilidade do Adobe Acrobat e Reader que foi vista em exploração selvagem este ano, após a CVE-2023-26369 , um problema de gravação fora dos limites que poderia resultar em execução de código ao abrir um documento PDF especialmente fabricado.

As agências do ramo executivo civil federal (FCEB) são obrigadas a aplicar os patches fornecidos pelo fornecedor até 31 de outubro de 2023, para proteger suas redes contra possíveis ameaças.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...