A Adobe endereçou sete vulnerabilidades no Acrobat DC e no Acrobat Reader DC, incluindo uma vulnerabilidade crítica que pode ser explorada por atacantes de forma a executarem código arbitrário.
“Adobe has released security updates for Adobe Acrobat and Reader for Windows and MacOS. These updates address critical and important vulnerabilities. Successful exploitation could lead to arbitrary code execution in the context of the current user.” reads the security advisory.
As falhas afetam o Acrobat DC e o Acrobat Reader DC para o sistema operativo Windows e macOS (versões 2018.011.20058 e anteriores; Acrobat 2017 e Acrobat Reader 2017 para Windows e macOS (versões 2017.011.30099 e anteriores) e Acrobat DC e Acrobat Reader DC para Windows e macOS (2015.006.30448 e anterior).
Os patches de segurança foram lançados uma semana depois de a Adobe lançar as atualizações do Patch Tuesday para setembro de 2018, que abordavam 10 vulnerabilidades no Flash Player e no ColdFusion.
A falha mais grave, identificada como CVE-2018-12848, corresponde a um problema crítico de escrita out-of-bound que pode permitir a execução arbitrária de código malicioso.
A falha foi relatada por Omri Herscovici, líder da equipe de de segurança da Check Point Software Technologies; o especialista também encontrou outras 3 vulnerabilidades.
As restantes falhas são vulnerabilidades de leitura out-of-bounds (CVE-2018-12849, CVE-2018-12850, CVE-2018-12801, CVE-2018-12840, CVE-2018-12778, CVE-2018-12775) que são classificadas como “importante” e poderiam levar ao disclosure de informação.
A boa notícia é que a Adobe não desconfia que as falhas tenham sido exploradas “in-the-wild”.