Adobe Patch Tuesday remenda 87 vulnerabilidades no Acrobat

Adobe Patch Tuesday remenda 87 vulnerabilidades no Acrobat.

As atualizações de terça-feira de dezembro de 2018 lançadas pela Adobe atendem a um total de 87 vulnerabilidades que afetam o software Acrobat.

As vulnerabilidades afetam as versões Windows e MacOS do Acrobat e do Acrobat Reader DC (Continuous and Classic 2015 tracks) e produtos Acrobat e Acrobat Reader 2017.

A lista de falhas de inclui vários tipos de erros críticos que podem levar à execução de código arbitrário, incluindo erros de buffer, untrusted pointer dereference, use-after-free, e heap overflow.

As falhas críticas também incluem vários problemas de bypass que podem levar ao escalonamento de privilégios.

Dezenas de out-of-bounds read, integer overflow e security bypass issues podem resultar na divulgação de informações e estes foram também classificadas como “importantes”.

“New versions of Acrobat and Reader were released today that fix 87 separate vulnerabilities. It might seem like a lot, but it’s not unusual as Acrobat releases go,” said Greg Wiseman, senior security researcher, Rapid7, in an email. “The massive attack surface represented by Acrobat and Reader makes it crucial to stay up-to-date.”

A Adobe atribui créditos pelas vulnerabilidades endereçadas a resentantes da Tencent, Source Incite, NSFocus, Beihang University, Trend Micro, the Chinese Academy of Sciences, Baidu, Qihoo 360, Ruhr-Universität Bochum, Cisco Talos, Zero Day Initiative, Palo Alto Networks, Knownsec 404 Security Team.

A Adobe afirma que não há indicação de que qualquer uma dessas vulnerabilidades tenha sido explorada in-the-wild.

A gigante de software lançou também recentemente uma atualização extraordinária para o Flash Player, onde foi abordada uma vulnerabilidade de dia zero explorada por um grupo sofisticado de ameaças contra um hospital associado à administração presidencial russa.

O ataque pode ter sido relacionado ao recente incidente Kerch Strait que envolveu a Rússia e a Ucrânia.

Durante o dia de ontem também a Microsoft lancou o seu patch mensal, onde foi abordada uma vulnerabilidade crítica zero-day.

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.