A Adobe solucionou duas vulnerabilidades críticas nos produtos Acrobat e Reader, um problema use-after-free e uma falha de bypass.
As falhas afetam as versões mais recentes do Acrobat DC, do Acrobat Reader DC, do Acrobat 2017 e do Acrobat Reader DC 2017 para Windows e MacOS.
“Adobe has released security updates for Adobe Acrobat and Reader for Windows and MacOS. These updates address critical vulnerabilities. Successful exploitation could lead to arbitrary code execution in the context of the current user.” reads the security advisory published by Adobe.
A primeira falha identificada como CVE-2018-16011 é um bug de use-after-free que pode levar à execução de código arbitrário no contexto do utilizador atual. O segundo problema identificado como CVE-2018-19725 é uma vulnerabilidade de bypass que pode resultar no escalonamento de privilégios.
Ambas as falhas receberam uma classificação de prioridade 2, porque os investigadores da Adobe acreditam que sua exploração não é totalmente clara.
A Adobe creditou Sebastian Apelt e Abdul Aziz Hariri, respectivamente, por comunicarem as falhas do CVE-2018-16011 e do CVE-2018-19725.
Ambos os especialistas partilharam as suas descobertas por meio da Zero Day Initiative (ZDI) da Trend Micro.
A Adobe aconselha os administradores a instalem os patches de segurança o mais rápido possivel.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.