| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Adobe 發布PDF軟體Acrobat及Reader安全更新,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Adobe 官網下載更新檔 https://helpx.adobe.com/security/products/acrobat/apsb24-70.html 建議更新至Acrobat DC 24.003.20112(含)之後版本 建議更新至Acrobat Reader DC 24.003.20112(含)之後版本 建議更新至Acrobat 2024 24.001.30187(含)之後版本 建議更新至Acrobat 2020 20.005.30680(含)之後版本 建議更新至Acrobat Reader 2020 20.005.30680(含)之後版本 |
| 細節描述: | Adobe本周發布安全更新,修補PDF軟體Acrobat及Reader二項可允許執行任意程式碼的重大漏洞。1.CVE-2024-41869為使用已釋放記憶體(Use After Free)漏洞該漏洞可能導致在目前使用者的上下文中執行任意程式碼。利用此問題需要用戶交互,受害者必須打開惡意文件。
2.CVE-2024-45112為型態混淆(Type Confusion)漏洞該漏洞可能導致在目前使用者的上下文中執行任意程式碼。當使用與實際物件類型不相容的類型存取資源時,就會出現此問題,從而導致攻擊者可以利用的邏輯錯誤。利用此問題需要用戶交互,受害者必須打開惡意文件。 其中CVE-2024-41869為資安研究人員Haifei Li發現。他創立的沙箱惡意程式偵測和分析系統Expmon今年稍早接到大量遭植入概念驗證攻擊程式的PDF樣本,意謂該軟體漏洞為零時差漏洞。CVE-2024-45112則由不知名的研究人員通報。 |
| 參考資訊: | iThome Adobe Tenable Tenable2 CVE-2024-41869 CVE-2024-45112 |