Прошло лишь девять дней после выхода плановых патчей для Acrobat и Reader, а компания Adobe вновь призывает обновить продукт. Оказалось, что патч, спешно созданный для бреши 0-day, можно обойти.

Возможность кражи NTLM-хешей в ходе автозагрузки таблицы стилей для XML-структур в PDF обнаружил эксперт Cure53 Алекс Инфюр (Alex Inführ), о чем он и поведал в своем блоге 26 января. Ввиду высокой опасности бреши (CVE-2019-7089) специалисты компании ACROS Security подготовили микропатч, который можно было поставить через бесплатную утилиту 0patch. Временная заплатка вышла за день до появления официального патча.

К сожалению, решение Adobe оказалось неполным. Проверяя надежность патча, Инфюр нашел способ обхода привносимых им изменений, и разработчикам пришлось исправлять свой промах.

«Adobe выпустила обновления для системы безопасности Adobe Acrobat и Reader, установленных на Windows и macOS, — сказано в новом бюллетене. — Эти обновления закрывают объявившуюся возможность обхода патча к CVE-2019-7089, который вышел 12 февраля в составе сборок 2019.010.20091, 2017.011.30120 и 2015.006.30475″.

Новой находке Инфюра был присвоен идентификатор CVE-2019-7815. «Успешная эксплуатация может привести к раскрытию конфиденциальной информации в контексте текущего пользователя», — так охарактеризовала Adobe эту брешь в бюллетене.

Доработанному патчу назначен приоритет 2, так как уязвимости подвержен продукт, относящийся к группе повышенного риска. Данных об использовании CVE-2019-7815 в атаках на настоящий момент нет. Чтобы избавиться от бреши, пользователям рекомендуется обновить продукты на обеих платформах следующим образом:

  • Acrobat DC/Acrobat Reader DC Continuous — до версии 2019.010.20098,
  • Acrobat/Acrobat Reader Classic 2017 — до 2017.011.30127,
  • Acrobat DC/Acrobat Reader DC Classic 2015 — до 2015.006.30482.

Категории: Главное, Кибероборона, Уязвимости