CISA Alerta sobre Vulnerabilidade Ativamente Explorada no Adobe Acrobat Reader
13 de Outubro de 2023

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na terça-feira uma falha de alta gravidade no Adobe Acrobat Reader ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), citando evidências de exploração ativa.

Rastreada como CVE-2023-21608 (pontuação CVSS: 7.8), a vulnerabilidade foi descrita como um bug de uso após o livre que pode ser explorado para realizar execução remota de código (RCE) com os privilégios do usuário atual.

Um patch para a falha foi lançado pela Adobe em janeiro de 2023.

Os pesquisadores de segurança da HackSys, Ashfaq Ansari e Krishnakant Patil, foram creditados por descobrir e relatar a falha.

As seguintes versões do software são impactadas -

Acrobat DC - 22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores (corrigido na 22.003.20310)

Acrobat Reader DC - 22.003.20282 (Win), 22.003.20281 (Mac) e versões anteriores (corrigido na 22.003.20310)

Acrobat 2020 - 20.005.30418 e versões anteriores (corrigido na 20.005.30436)
Acrobat Reader 2020 - 20.005.30418 e versões anteriores (corrigido na 20.005.30436)

Detalhes sobre a natureza da exploração e os atores de ameaças que podem estar abusando do CVE-2023-21608 são atualmente desconhecidos.

Uma prova-de-conceito (PoC) de exploração para a falha foi disponibilizada no final de janeiro de 2023.

O CVE-2023-21608 é também a segunda vulnerabilidade do Adobe Acrobat e Reader que foi vista em exploração selvagem este ano, após a CVE-2023-26369 , um problema de gravação fora dos limites que poderia resultar em execução de código ao abrir um documento PDF especialmente fabricado.

As agências do ramo executivo civil federal (FCEB) são obrigadas a aplicar os patches fornecidos pelo fornecedor até 31 de outubro de 2023, para proteger suas redes contra possíveis ameaças.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...