Компания Adobe выпустила внеочередные патчи для Acrobat и Acrobat Reader, работающих на платформах Windows и macOS. Совокупно разработчик закрыл семь уязвимостей; одна из них признана критической.

По словам представителей компании, брешь CVE-2018-12848 возникла из-за вероятности ошибки out-of-bounds write — запись за пределами выделенного в памяти буфера. «Успешная эксплуатация может повлечь исполнение произвольного кода в контексте текущего пользователя», — сказано в бюллетене.

Остальные уязвимости (CVE-2018-12849, CVE-2018-12850, CVE-2018-12801, CVE-2018-12840, CVE-2018-12778 и CVE-2018-12775) относятся к категории out-of-bounds read, чтение за пределами буфера. Их эксплойт грозит раскрытием информации; все шесть брешей получили оценку «существенная».

О двух уязвимостях (CVE-2018-12778 и CVE- 2018-12775) Adobe сообщили анонимно участники проекта Zero Day Initiative компании Trend Micro. Уязвимость CVE-2018-12801 обнаружили исследователи из Cybellum Technologies, еще четыре бага (CVE-2018-12848, CVE-2018-12849, CVE-2018-12850, CVE-2018-12840) — эксперт Check Point Омри Херскович (Omri Herscovici).

Наличие уязвимостей подтверждено для Acrobat/Acrobat Reader DC версий 2018.011.20058 и ниже, Acrobat/Acrobat Reader 2017 версий 2017.011.30099 и ниже, а также Acrobat/Acrobat Reader DC 2015.006.30448 и ниже.

Для устранения проблем пользователям нужно обновить Acrobat/Acrobat Reader DC до версии 2018.011.20063 или 2015.006.30452, а Acrobat/Acrobat Reader 2017 — до 2017.011.30102.

Всем обновлениям присвоен приоритет 2; согласно классификации Adobe, это означает отсутствие активного эксплойта. Тем не менее, в таких случаях вендор не рекомендует сильно затягивать с установкой патчей, лучше всего это сделать в течение месяца.

Напомним, неделю назад Adobe выпустила плановые патчи для ColdFusion, закрывающие девять брешей. Шесть из них влекут исполнение произвольного кода и оценены как критические.

Категории: Главное, Уязвимости