- A+
此更新包含大量关键代码执行问题。
Adobe在其12月补丁周二更新中修补了87个Acrobat和Reader漏洞,包括一系列允许任意代码执行的关键漏洞。
Adobe发布了几个针对Flash Player的带外修复程序,包括一个据称在野外被利用的关键漏洞(CVE-2018-15982),不到一周就进行了预定的更新 。 这是一个免费使用后的漏洞,可以在Flash中执行任意代码执行。
关键代码执行缺陷
本月所解决的关键漏洞无数。 任意代码执行问题包括:两个缓冲区错误; 两个不受信任的指针引用故障; 三个堆溢出问题,五个越界写入漏洞,24个免费使用后漏洞。 Adobe还修补了其他三个可能导致特权升级的关键评级问题; 这些都是安全绕过问题。
重要信息披露缺陷
除了关键的错误之外,Adobe还修补了43个越界读取缺陷,4个整数溢出问题和2个安全绕过问题,所有这些都可能允许信息泄露。
该公司没有公布任何缺陷的具体细节,但Threatpost将更新此页面,其中包含我们发现的任何其他方面或其他评论。
Adobe将所有关键和重要的缺陷都描述为修补的“优先级2” ,这意味着软件巨头认为它们不太可能在野外被迫利用,但建议在30天内修补。
这些缺陷影响深远,影响了Mac OS和Windows的Acrobat DC,Acrobat Reader DC,Acrobat 2017和Acrobat Reader 2017的各种实现 ,包括经典2015,经典2017和连续轨道版本。 所有这些都可以通过更新到最新版本的软件来缓解。
“今天发布了新版本的Acrobat和Reader,修复了87个独立的漏洞。 这可能看起来很多,但随着Acrobat的发布,这并不罕见,“Rapid7的高级安全研究员Greg Wiseman在一封电子邮件中说。 “由Acrobat和Reader代表的巨大攻击面使得保持最新状态至关重要。”
Tripwire软件开发经理Tyler Reguly告诉Threatpost他有不同的看法。
“对我而言,最重要的是在63天内,根据我的统计,Adobe已经修补了Adobe Reader和Acrobat中的176个漏洞,”他说。 “这大约是每天2.8个漏洞。 不幸的是,Adobe安全性似乎从未改善过,它只是拖延了线路,并继续包含高漏洞帐户。 在某种程度上,现代操作系统已经消除了我们对Adobe Reader / Acrobat的依赖,就像HTML5已经消除了我们对Adobe Flash的依赖......但是这些是历史上Adobe有一些接近垄断的地方,所以这些技术仍然根深蒂固企业。 然后,您不得不怀疑Adobe产品中包含的漏洞数量是由于其开发中的缺陷还是仅仅是其受欢迎程度的工件,就像许多其他操作系统和应用程序一样。 如果另一种产品在人气方面取代它们,我们会看到CVE计数开始转变吗?“
