Adobe昨(11)日发布安全更新,修补43项漏洞,包括一个已经被开采的Windows版Acrobat Reader任意程序代码执行漏洞。
被开采的漏洞发生在Acrobat Reader Windows及mac版,编号CVE-2021-28550。Adobe没有详述细节,只说明一旦开采成功,可在现有用户环境下允许执行任意程序代码。该漏洞也被列为重大风险漏洞。
受这项漏洞影响的产品包括Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017和Acrobat Reader 2017。用户只要通过上述产品打开经过恶意变造的PDF档,即可触发该漏洞。
Adobe指出,网络上已发生针对Windows版Adobe Acrobat Reader“有限”的攻击。Adobe也呼吁用户尽快下载安装安全更新。
CVE-2021-28550只是Adobe发布的五月份安全更新修补的43项漏洞之一,不过也是本月唯一被外界知悉的漏洞。macOS及Windows版Adobe Acrobat and Reader产品线另外也包含重要风险等级的漏洞。
其他还包括14项重要(important)和重大(critical)风险漏洞,涵盖频外写入、频外读取、堆积型缓冲溢出漏洞,及使用已释放内存(use after free)漏洞,影响Adobe Experience Manager、InDesign、Illustrator、InCopy、Adobe Genuine Service、Magento、Creative Cloud Desktop、Media Encoder、Medium和Animate等产品。其中InDesign、Illustrator、Creative Cloud Desktop及Mageno皆包含任意程序代码执行的重大漏洞。