更多全球网络安全资讯尽在邑安全
美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了 5 个新缺陷 ,其中包括Adobe Acrobat Reader 中的一个高严重性缺陷 ( CVE-2023-21608 )(CVSS 评分:7.8)。
该缺陷属于释放后使用问题,攻击者可以触发该缺陷,以当前用户的权限实现远程代码执行(RCE)。
“Adobe Acrobat Reader 版本 22.003.20282(及更早版本)、22.003.20281(及更早版本)和 20.005.30418(及更早版本)受到 Use After Free 漏洞的影响,该漏洞可能导致在当前用户的上下文中执行任意代码”。阅读该咨询意见。“利用此问题需要用户交互,受害者必须打开恶意文件。”
Adobe于 2023 年 1 月解决了该漏洞,并且可在线获取该问题的 PoC 漏洞利用代码。
CISA 解决的其余问题是:
-
CVE-2023-20109 Cisco IOS 和 IOS XE 组加密传输 VPN越界写入漏洞 -
CVE-2023-41763 Microsoft Skype for Business 权限升级漏洞 -
CVE-2023-36563 Microsoft WordPad 信息泄露漏洞 -
CVE-2023-44487 HTTP/2 快速重置攻击漏洞
根据 约束性操作指令 (BOD) 22-01:降低已知被利用漏洞的重大风险,FCEB 机构必须在截止日期前解决已识别的漏洞,以保护其网络免受利用目录中的缺陷的攻击。
专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。
CISA 命令联邦机构在 2023 年 10 月 31 日之前修复此缺陷。
原文来自: securityaffairs.com
原文链接:https://securityaffairs.com/152361/hacking/cisa-adds-adobe-acrobat-reader-flaw-known-exploited-vulnerabilities-catalog.html
推荐文章
1
2
原文始发于微信公众号(邑安全):CISA 将 Adobe Acrobat Reader 中的缺陷 CVE-2023-21608 添加到其已知可利用漏洞目录中
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论