Adobe Patch Tuesday remenda 87 vulnerabilidades no Acrobat.

As atualizações de terça-feira de dezembro de 2018 lançadas pela Adobe atendem a um total de 87 vulnerabilidades que afetam o software Acrobat.

As vulnerabilidades afetam as versões Windows e MacOS do Acrobat e do Acrobat Reader DC (Continuous and Classic 2015 tracks) e produtos Acrobat e Acrobat Reader 2017.

A lista de falhas de inclui vários tipos de erros críticos que podem levar à execução de código arbitrário, incluindo erros de buffer,  untrusted pointer dereference,  use-after-free, e heap overflow.

As falhas críticas também incluem vários problemas de bypass que podem levar ao escalonamento de privilégios.

Dezenas de out-of-bounds read,  integer overflow e security bypass issues  podem resultar na divulgação de informações e estes foram também classificadas como “importantes”.

“New versions of Acrobat and Reader were released today that fix 87 separate vulnerabilities. It might seem like a lot, but it’s not unusual as Acrobat releases go,” said Greg Wiseman, senior security researcher, Rapid7, in an email. “The massive attack surface represented by Acrobat and Reader makes it crucial to stay up-to-date.”

A Adobe atribui créditos pelas vulnerabilidades endereçadas a resentantes da Tencent, Source Incite, NSFocus, Beihang University, Trend Micro, the Chinese Academy of Sciences, Baidu, Qihoo 360, Ruhr-Universität Bochum, Cisco Talos, Zero Day Initiative, Palo Alto Networks, Knownsec 404 Security Team.

A Adobe afirma que não há indicação de que qualquer uma dessas vulnerabilidades tenha sido explorada in-the-wild.

A gigante de software  lançou também recentemente uma atualização extraordinária para o Flash Player, onde foi abordada uma vulnerabilidade de dia zero explorada por um grupo sofisticado de ameaças contra um hospital associado à administração presidencial russa.

O ataque pode ter sido relacionado ao recente incidente Kerch Strait que envolveu a Rússia e a Ucrânia.

Durante o dia de ontem também a Microsoft lancou o seu patch mensal, onde foi abordada uma vulnerabilidade crítica zero-day.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *