每月第二周的周二(国内为周三)是微软发布例行更新的日子,Adobe公司现在也跟随微软一起发布更新这样可以降低用户的维护难度,昨夜Adobe也按发布流程推出新的安全更新。
此次安全更新的重点产品是Adobe Acrobat Reader,这款PDF阅读器被研究人员发现存在某个安全漏洞,而这枚漏洞在被研究人员或Adobe发现前在野外就已经遭到黑客的利用。考虑到Adobe PDF编辑器拥有广泛的用户,因此出现这种安全漏洞尤其是已经被利用的漏洞是相当危险的。
因此Adobe在发布安全公告后立即呼吁所有用户升级Adobe Acrobat Reader最新版以封堵漏洞,这枚漏洞的编号为CVE-2021-28550,Adobe并没有透露漏洞的细节但表示若黑客成功利用此漏洞则可以在现有用户环境下执行任意代码,也正是如此这枚漏洞被列为重大安全漏洞。
受影响的产品包括Adobe Acrobat DC、Adobe Acrobat Reader DC、Adobe Acrobat 2020、Adobe Acrobat Reader 2020、Adobe Acrobat 2017以及Adobe Acrobat Reader 2017。理论上说只要攻击者特制PDF文档然后发布在网上或者通过邮件诱导用户打开即可利用漏洞,这种在BEC商业电邮诈骗中也非常常见,即伪造供应商发布所谓的采购清单诱导目标企业打开文档,一旦打开文档就可能会感染恶意软件。
在说明里Adobe也承认这枚漏洞确实在修复前就遭到利用,但就目前而言利用此漏洞的攻击者极少,在网络上有部分黑客利用此漏洞对Windows用户发起有限的攻击,不过这个有限的限度是多少Adobe并没有说,Adobe呼吁用户尽快升级同时不要打开来历不明的文档。
除此漏洞外还有些高危漏洞不过这些漏洞都没有在野外遭到利用,从安全公告可以看到Adobe Acrobat系列还修复42枚安全漏洞,同时涉及Windows和macOS版的Adobe Acrobat产品。所以说到最后还是希望大家尽快升级新版本,如果你因为各种原因无法升级的话,切记不要打开任何来历不明的PDF文档,尤其是从网上下载的。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/31749.html