Adobe выпустила критические обновления безопасности, в которых закрыта 0-day уязвимость Acrobat и Reader. Уязвимость обозначена как активно эксплуатируемая в атаках и известна под идентификатором CVE-2023-26369 .
Согласно информации из официального бюллетеня безопасности компании, данная уязвимость “активно эксплуатируется в ограниченных атаках, нацеленных на Adobe Acrobat и Reader”. Дополнительная информация о характере этих атак пока не раскрывается.
Уязвимость затрагивает системы как на платформе Windows, так и на macOS. Она позволяет злоумышленникам выполнять произвольный код после успешной эксплуатации недостатка, связанного с выходом за пределы возможности записи (Out-of-bounds Write).
Примечательно, что такая атака имеет низкую степень сложности и не требует наличия привилегий для её проведения. Тем не менее, уязвимость может быть эксплуатирована только локальными злоумышленниками и требует взаимодействия с пользователем.
Компания классифицировала данную уязвимость как максимально приоритетную и настоятельно рекомендует администраторам установить обновление как можно скорее, идеально – в течение 72 часов.
В дополнение к этому, Adobe устранила и другие уязвимости в Adobe Connect и Adobe Experience Manager, которые также позволяют злоумышленникам выполнять произвольный код. Эти уязвимости могут быть использованы для осуществления атак типа “Reflected Cross-Site Scripting” (Reflected XSS), которые могут быть использованы для доступа к
Cookie позволяют сайтам “запоминать” пользователей и их предпочтения, обеспечивая таким образом более персонализированный и удобный опыт просмотра. Однако они также могут быть использованы для отслеживания поведения пользователя в интернете, что вызывает некоторые опасения по поводу конфиденциальности и безопасности.