漏洞公告
近日,安恒信息CERT监测到Adobe官方发布了安全公告,修复了Adobe Acrobat和Adobe Reader 的一处释放后重用(UAF)漏洞(CVE-2022-34229),该漏洞是由于处理 PDF 文件时出现释放后重用错误而导致,成功利用此漏洞可能造成任意代码执行。目前官方已修复该漏洞并发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://helpx.adobe.com/security/products/acrobat/apsb22-32.html
一
影响范围
受影响版本:
Acrobat DC & Acrobat Reader DC
<=22.001.20142 (Windows & macOS)
Acrobat2020 & Acrobat Reader 2020
<=20.005.30334(Windows)
<=20.005.30311 (macOS)
Acrobat 2017 & Acrobat Reader 2017
<=17.012.30229(Windows)
<=17.012.30227(macOS)
安全版本:
Acrobat DC & Acrobat Reader DC
= 22.001.20169 (Windows & macOS)
Acrobat2020 & Acrobat Reader 2020
= 20.005.30362 (Windows & macOS)
Acrobat 2017 & Acrobat Reader 2017
= 17.012.30249 (Windows & macOS)
二
漏洞描述
Adobe Acrobat和Adobe Reader都是美国奥多比(Adobe)公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。
Adobe Acrobat 和 Adobe Reader存在一处释放后重用(UAF)漏洞,该漏洞是由于处理 PDF 文件时出现释放后重用错误而导致,攻击者利用该漏洞可能造成任意代码执行。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 | 已公开 | 未公开 | 未知 |
三
缓解措施
高危:目前POC 代码已公开,官方已发布相关安全版本,建议受影响用户及时更新安全补丁。
官方建议:
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
最终用户可通过以下方法之一获得最新的产品版本:
(1)用户可以通过选择“帮助” > “检查更新”来手动更新其产品安装。
(2)检测到更新时,产品将自动更新,无需用户干预。
(3)完整的 Acrobat Reader 安装程序可以从 Acrobat Reader 下载中心下载。
下载地址:https://get.adobe.com/cn/reader/
安恒信息CERT
2022年7月
原文始发于微信公众号(安恒信息CERT):Adobe Acrobat和Adobe Reader 释放后重用(UAF)漏洞风险提示(CVE-2022-34229)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论