Праздник праздником, а работа над ошибками не должна прекращаться, решили в Adobe. Третьего января разработчики Acrobat и Reader выпустили патчи для двух критических уязвимостей. К счастью, с обновлением можно повременить.

Новым заплаткам присвоен приоритет 2. Согласно принятой в компании системе ранжирования, это означает, что бреши присутствуют в продуктах, относящихся к группе риска, однако злоумышленники пока не используют их в атаках и вряд ли пустят в ход сразу после публикации. Пользователям рекомендуется обновить уязвимые продукты на Windows и macOS в течение 30 дней.

Уязвимость CVE-2018-16011 относится к классу use-after-free. Согласно бюллетеню Adobe, ее эксплуатация может привести к исполнению произвольного кода в контексте текущего пользователя. Вторая уязвимость, CVE-2018-19725, позволяет повысить привилегии в обход средств защиты. Оба бага обнаружили участники проекта Zero Day Initiative, который курирует компания Trend Micro.

Уязвимостям подвержены Acrobat DC и Acrobat Reader сборок DC 2019.010.20064 и 2015.006.30461 или старше, а также Acrobat / Acrobat Reader 2017.011.30110 и ниже. Патчи включены в состав обновлений 2019.010.20069, 2015.006.30464 и 2017.011.30113.

В прошлом году Adobe латала Acrobat и Reader довольно часто; в большинстве случаев это были объемные выпуски. Так, в феврале компания устранила более 40 уязвимостей в программах для работы с PDF-файлами, в мае — 47, в июле — 112, в октябре — 86, в декабре — 87.

Категории: Главное, Уязвимости