Adobe發(fā)布了第二個(gè)補(bǔ)丁,用于在原始修復(fù)失敗后解決Adobe Reader中的關(guān)鍵零日漏洞。
該漏洞CVE-2019-7089在Adobe2月12日的補(bǔ)丁版本中進(jìn)行了修補(bǔ)。在其他42個(gè)關(guān)鍵錯(cuò)誤中,安全漏洞被描述為一個(gè)敏感的數(shù)據(jù)泄漏問(wèn)題,在被利用時(shí)可能導(dǎo)致信息泄露。
Adobe的不合時(shí)宜的補(bǔ)丁公告會(huì)影響Windows和macOS計(jì)算機(jī)上的Acrobat DC,Acrobat Reader DC,Acrobat 2017 Classic,Acrobat Reader DC Classic 2017和2015版Acrobat DC和Acrobat Reader DC。
Cure53的Alex Infuhr在發(fā)現(xiàn)繞過(guò)能夠繞過(guò)修復(fù)的旁路后,向Adobe報(bào)告了失敗的補(bǔ)丁,導(dǎo)致數(shù)據(jù)泄漏無(wú)法解決。
關(guān)鍵問(wèn)題類似于BadPDF,允許攻擊者利用Reader的內(nèi)容嵌入功能中的弱點(diǎn),迫使軟件在打開.PDF文件時(shí)向攻擊者控制的服務(wù)器發(fā)送請(qǐng)求。
這種被描述為“打電話回家”的技術(shù)可能導(dǎo)致威脅參與者獲得散列密碼值,并在文件處于活動(dòng)和打開狀態(tài)時(shí)收到警報(bào)。
Adobe的第二個(gè)補(bǔ)丁將有望解決這個(gè)問(wèn)題,現(xiàn)在已經(jīng)發(fā)布了一個(gè)新的CVE編號(hào)并被追蹤為CVE-2019-7815。
該技術(shù)巨頭并未發(fā)現(xiàn)任何有關(guān)該漏洞正在被利用的報(bào)告,但建議用戶使用新的安全版本更新其構(gòu)建版本,以降低漏洞利用的風(fēng)險(xiǎn)。