Adobe は、攻撃に悪用されたとタグ付けされた Acrobat および Reader のゼロデイ脆弱性を修正するセキュリティ アップデートをリリースしました。
攻撃に関する追加情報はまだ公開されていませんが、ゼロデイは Windows と macOS の両方のシステムに影響を与えることが知られています。
「アドビは、CVE-2023-26369 が Adobe Acrobat および Reader を対象とした限定的な攻撃に悪用されていることを認識しています」と同社は本日公開されたセキュリティ アドバイザリーで述べています。
この重大なセキュリティ欠陥は CVE-2023-26369 として追跡されており、攻撃者が境界外の書き込みの弱点を悪用した後にコードを実行される可能性があります。
CVSS v3.1 スコアによると、脅威アクターは権限を必要とせずに複雑さの低い攻撃でこの脆弱性を悪用できますが、この欠陥を悪用できるのはローカルの攻撃者のみであり、ユーザーの操作も必要です。
CVE-2023-26369 は、Addobe によって最高の優先度評価で分類されており、同社は管理者に対し、できるだけ早く、理想的には 72 時間以内に更新プログラムをインストールすることを強く推奨しています。
影響を受ける製品とバージョンの完全なリストを以下の表に示します。
製品 | 追跡 | 影響を受けるバージョン |
アクロバットDC | 継続的 | 23.003.20284 以前 |
アクロバットリーダーDC | 継続的 | 23.003.20284 以前 |
アクロバット2020 | クラシック 2020 | 20.005.30516 (Mac) 以前 20.005.30514 (Win) 以前 |
アクロバットリーダー2020 | クラシック 2020 | 20.005.30516 (Mac) 以前 20.005.30514 (Win) 以前 |
アドビは本日、パッチが適用されていないAdobe ConnectおよびAdobe Experience Managerソフトウェアを実行しているシステム上で攻撃者が任意のコードを実行できる可能性があるさらなるセキュリティ上の欠陥に対処しました。
本日修正された Connect (CVE-2023-29305 および CVE-2023-29306) および Experience Manager (CVE-2023-38214 および CVE-2023-38215) のバグはすべて、リフレクト クロスサイト スクリプティング (XSS) 攻撃を開始するために使用される可能性があります。
これらは、ターゲットの Web ブラウザに保存されている Cookie、セッション トークン、またはその他の機密情報にアクセスするために悪用される可能性があります。
7 月、アドビは、限定的な攻撃の一部として実際に悪用されたゼロデイ ( CVE-2023-38205 ) に対処するために、緊急の ColdFusion セキュリティ アップデートをプッシュしました。
数日後、CISA は連邦政府機関に対し、8 月 10 日までに積極的に悪用されているバグからネットワーク上の Adobe ColdFusion サーバーを保護するよう命令しました。
Comments