Adobe發(fā)布了第二個(gè)補(bǔ)丁，用于在原始修復(fù)失敗后解決Adobe Reader中的關(guān)鍵零日漏洞。

該漏洞CVE-2019-7089在Adobe2月12日的補(bǔ)丁版本中進(jìn)行了修補(bǔ)。在其他42個(gè)關(guān)鍵錯(cuò)誤中，安全漏洞被描述為一個(gè)敏感的數(shù)據(jù)泄漏問(wèn)題，在被利用時(shí)可能導(dǎo)致信息泄露。

Adobe的不合時(shí)宜的補(bǔ)丁公告會(huì)影響Windows和macOS計(jì)算機(jī)上的Acrobat DC，Acrobat Reader DC，Acrobat 2017 Classic，Acrobat Reader DC Classic 2017和2015版Acrobat DC和Acrobat Reader DC。

Cure53的Alex Infuhr在發(fā)現(xiàn)繞過(guò)能夠繞過(guò)修復(fù)的旁路后，向Adobe報(bào)告了失敗的補(bǔ)丁，導(dǎo)致數(shù)據(jù)泄漏無(wú)法解決。

關(guān)鍵問(wèn)題類似于BadPDF，允許攻擊者利用Reader的內(nèi)容嵌入功能中的弱點(diǎn)，迫使軟件在打開.PDF文件時(shí)向攻擊者控制的服務(wù)器發(fā)送請(qǐng)求。

這種被描述為“打電話回家”的技術(shù)可能導(dǎo)致威脅參與者獲得散列密碼值，并在文件處于活動(dòng)和打開狀態(tài)時(shí)收到警報(bào)。

Adobe的第二個(gè)補(bǔ)丁將有望解決這個(gè)問(wèn)題，現(xiàn)在已經(jīng)發(fā)布了一個(gè)新的CVE編號(hào)并被追蹤為CVE-2019-7815。

該技術(shù)巨頭并未發(fā)現(xiàn)任何有關(guān)該漏洞正在被利用的報(bào)告，但建議用戶使用新的安全版本更新其構(gòu)建版本，以降低漏洞利用的風(fēng)險(xiǎn)。