Adobe nødopdatering til Acrobat Reader der udnyttes i øjeblikket

En NØDOPDATERING til Adobe Acrobat, verdens førende PDF-læser, retter en sårbarhed under aktivt angreb, der påvirker både Windows- og macOS-systemer. Man kan uden opdatering risikerer vilkårlig kørsel af programkode, såsom Ransomware og installation af overvågningssoftware m.v.

Adobe advarer kunderne om den kritiske zero-day fejl der aktivt udnyttes og som samtidigt udsætter alle brugere for fare hvis man bruger Adobe Acrobat PDF-læser software.

En patch er tilgængelig, som en del af virksomhedens tirsdag roundup af 43 rettelser til 12 af sine produkter, herunder Adobe Creative Cloud Desktop Application,  Illustrator,  InDesign,og  Magento.

”Ifølge Adobe er zero-day sårbarheden, som spores som CVE-2021-28550, allerede blevet udnyttet med begrænsede angreb rettet mod Adobe Reader brugere på Windows.”

Windows-brugere af Adobe Reader er muligvis de eneste, der i øjeblikket er målrettet. Fejlen påvirker dog otte versioner af softwaren, herunder dem, der kører på Windows- og macOS-systemer. Versioner omfatter:

  • Windows Acrobat DC &Reader DC (version 2021.001.20150 og tidligere)
  • macOS Acrobat DC &Reader DC (version 2021.001.20149 og tidligere)
  • Windows &macOS Acrobat 2020 & Acrobat Reader 2020 (2020.001.30020 og tidligere versioner)
  • Windows &macOS Acrobat 2017 & Acrobat Reader 2017 (2017.011.30194 og tidligere versioner)

Adobe har ikke udgivet tekniske detaljer vedrørende zero-day sårbarhed. Disse oplysninger bliver typisk tilgængelige, når brugerne har haft mulighed for at anvende rettelsen.

Brugere kan også opdatere deres produktinstallationer manuelt ved at vælge:

Adobe Update udsender nødopdatering med flere kritiske fejl

Også en del af tirsdagens roundup af 43 rettelser er flere andre fejl bedømt kritisk. I alt modtog Adobe Acrobat 10 vigtige og fire vigtige sårbarhedsrettelser.

Syv ud af disse fejl omfattede muligheden for udførsel af vilkårlig kode og dermed Ransomware og overvågningssoftware.

Tre (CVE-2021-21044, CVE-2021-21038, CVE-2021-21086) af sårbarhederne der er lappet tirsdag kan åbne systemer op til out-of-bounds exe og skrive angreb.

Adobe Illustrator modtog det næsthøjeste antal programrettelser tirsdag, hvor fem sårbarheder i forbindelse med udførelse af kritisk kode blev rettet. Ifølge Adobes beskrivelse af fejlene er tre (CVE-2021-21103, CVE-2021-21104, CVE-2021-21105) hukommelseskorruptionsfejl, der åbner systemer op for hackere, hvilket udløser vilkårlig kodeudførelse på målrettede systemer.

Yderligere Adobe-produkter, der modtog programrettelser, omfattede Adobe Animate, Adobe Medium, Adobe After Effects, Adobe Media Encoder, Adobe Genuine Service,  Adobe InCopy  og Adobe Genuine Service.

Scroll til toppen