Adobe
Adobe本周發布安全更新,修補PDF軟體Acrobat及Reader二項可允許執行任意程式碼的重大漏洞。
這二項漏洞中,CVE-2024-41869為使用已釋放記憶體(Use After Free)漏洞,CVE-2024-45112為型態混淆(Type Confusion)漏洞,即以不相容型態的訊息存取資源。Adobe並未詳細說明漏洞影響,不過根據資安業者Tenable,二個漏洞都可能引發任意程式碼執行。
雖然Adobe的安全公告將兩漏洞CVSS風險值列為7.8和8.6,但Tenable公告顯示二者CVSSv3 base score為9.8。
其中CVE-2024-41869為資安研究人員Haifei Li發現。他創立的沙箱惡意程式偵測和分析系統Expmon今年稍早接到大量遭植入概念驗證攻擊程式的PDF樣本,意謂該軟體漏洞為零時差漏洞。CVE-2024-45112則由不知名的研究人員通報。
受兩漏洞影響的Adobe產品為Windows及macOS版的Acrobat Reader DC(Windows版24.003.20054及以前,MacOS版24.002.21005及以前)、Acrobat 2020及Acrobat Reader 2020(20.005.30655及以前版本),以及Acrobat 2024(24.001.30159及以前版本)。Adobe建議用戶儘速更新軟體到最新版本。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-05
2024-10-07
2024-10-07
2024-10-07