Компания Adobe выпустила обновление безопасности для продуктов Adobe Acrobat и Acrobat Reader, работающих под управлением Windows и macOS. Бюллетень APSB26-63 содержит информацию об исправлении сразу 19 уязвимостей, из которых 14 признаны критическими. Проблемы затрагивают пользователей как актуальной ветки Continuous (версии 26.001.21651 и более ранние), так и классической ветки Acrobat 2024 (версии 24.001.30365 и ранее).
Детали уязвимостей
В списке исправленных дефектов безопасности представлены уязвимости различных типов. Среди них запись за границами выделенной области памяти (out-of-bounds write), множественные ошибки использования памяти после освобождения (Use After Free), переполнение буфера как на стеке, так и в куче, а также неконтролируемый элемент пути поиска и целочисленное переполнение. Большинство уязвимостей получили оценку 7,8 балла по шкале CVSS v3.1, что соответствует критическому уровню опасности. Несколько проблем, связанных с чтением за границами и раскрытием содержимого памяти, отнесены к категории "важные" (5,5 балла).
Технически эксплуатация этих уязвимостей возможна только при условии, что пользователь откроет специально сформированный PDF-файл. Вектор атаки локальный, не требует наличия привилегий, но предполагает взаимодействие с жертвой. Если злоумышленнику удастся убедить пользователя открыть вредоносный документ, он сможет выполнить произвольный код в контексте приложения Adobe Acrobat или Reader. В зависимости от конкретной уязвимости последствия могут включать также отказ в обслуживании приложения или утечку фрагментов оперативной памяти (memory exposure).
В официальном заявлении Adobe говорится: "Компании неизвестно об эксплуатации каких-либо из этих уязвимостей в реальных атаках". Тем не менее, характер проблем и широкая распространённость продуктов Adobe делают их привлекательной целью для киберпреступников. Критические оценки CVSS указывают на высокую вероятность успешной компрометации системы в случае, если пользователь не установит обновление.
Особенное внимание стоит уделить организациям, где Adobe Acrobat и Reader используются как корпоративный стандарт для работы с документацией. В таких средах один заражённый PDF-файл, открытый сотрудником, может привести к выполнению вредоносного кода с правами текущего пользователя. Это открывает путь для закрепления в системе, кражи учётных данных или развёртывания программ-вымогателей. IT-администраторам следует как можно быстрее инициировать процесс обновления всех инсталляций Acrobat и Reader до актуальных версий: для ветки Continuous - 26.001.21662, для классической ветки Acrobat 2024 - 24.001.30383.
Adobe рекомендует пользователям установить обновления вручную через меню "Справка - Проверить наличие обновлений" или дождаться автоматической доставки. Для управляемых сред доступны ссылки на установщики в примечаниях к выпуску, а также инструкции по развёртыванию через AIP-GPO, SCUP/SCCM на Windows и Apple Remote Desktop на macOS.
Учитывая, что уязвимости затрагивают две основные ветки продукта и не требуют сложных действий от атакующего (достаточно открыть файл), задержка с установкой исправления создаёт прямой риск выполнения произвольного кода. Для организаций, которые ещё не перешли на обновлённые версии, рекомендуется временно усилить контроль за открытием входящих PDF-файлов, особенно полученных из внешних источников, до завершения процесса обновления.
Ссылки
