کمیته رکن چهارم – شرکت ادوبی دو آسیبپذیری Privilege Escalation و Code Execution روی محصول Acrobat and Reader را توسط بهروزرسانی تازه خود مرتفع کرد.
در آخرین بهروزرسانی منتشرشده توسط ادوبی، دو آسیبپذیری بحرانی در محصول Acrobat and Reader روی پلتفرمهای ویندوز و مک رفع شده است. اطلاعات تکمیلی دربارهی این آسیبپذیریها منتشر نشده است، اما مشخص شده که آسیبپذیریها از نوع Privilege Escalation و Code Execution هستند. این آسیبپذیریها توسط عبدالعزیز حریری و سباستین اپلت از تیم تحقیقات امنیت سایبری Trend Micro’s Zero Day Initiative گزارش شدهاند.
آسیبپذیری اول که با شناسهی CVE-2018-16011 توسط اپلت گزارش شده است، از نوع باگ Use After Free بوده که باعث اجرای کُدها یا دستورهای دلخواه هکر میشود. نفوذگر با تشویق قربانی به باز کردن فایل PDF آلوده توسط نسخهی آسیبپذیر Acrobat and Reader باعث میشود که بدون داشتن مجوز دسترسی، دستورهای مخربی را روی سیستم قربانی، بدون اطلاع او اجرا کند و درنهایت برنامهی آلودهای روی سیستم قربانی اجرا کند.
آسیبپذیری دوم که با شناسهی CVE-2018-19725 توسط حریری گزارش شده، با دور زدن تمهید امنیتی، باعث بهوجود آمدن آسیبپذیری Privilege Escalation میشود که امکان بالا بردن سطح دسترسی نفوذگر به سیستم قربانی را فراهم میکند. این دو آسیبپذیری دارای درجه اهمیت بحرانی هستند اما بهدلیل اینکه شرکت ادوبی گزارشی مبنی بر استفاده از این آسیبپذیریها در سطح وسیع را دریافت نکرده، رتبهی اولویت آنها را در سطح پایینی قرار داده است.
نسخهی ۲۰۱۵٫۰۰۶٫۳۰۴۶۱ و قدیمیتر، نسخهی ۲۰۱۷٫۰۰۱٫۳۰۱۱۰ و قدیمیتر، نسخهی ۲۰۱۹٫۰۱۰٫۲۰۰۶۴ و قدیمیتر از برنامهی Acrobat and Reader روی پلتفرمهای ویندوزی و macOS دارای آسیبپذیریهای فوق هستند. ادوبی اعلام کرد که در نسخههای ۲۰۱۵٫۰۰۶٫۳۰۴۶۴، ۲۰۱۷٫۰۱۱٫۳۰۱۱۳ و ۲۰۱۹٫۰۱۰٫۲۰۰۶۹ که بهتازگی منتشر شده است، آسیبپذیریهای فوق رفع شده و اکیداً به کاربران توصیه میکند که آخرین نسخهی منتشرشده را دریافت و نصب کنند.
منبع : زومیت
