Az Adobe a második patch-et adja ki egy kritikus, nulladik napi sebezhetőségre az Adobe Readerben, miután az előző javítás sikertelennek bizonyult.
A sebezhetőség elvileg a február 12-i patch-csel javításra került, a gyakorlatban viszont hamar bebizonyosodott, hogy könnyen megkerülhető. 42 másik kritikus hiba mellett a biztonsági rést „érzékenyadat-szivárgásként” írták le, amivel könnyen tulajdoníthatnak el információkat a gépünkről, ha kihasználják.
Az érintett programok az Acrobat DC, Acrobat Reader DC, Acrobat 2017 Classic, Acrobat Reader DC Classic 2017, illetve az Acrobat DC és Acrobat Reader DC 2015.ös verziói Windows és macOS alatt is.
A kritikus probléma lényege, hogy lehetővé teszi a támadók számára, hogy kihasználják a Reader tartalombeágyazó funkciójának tökéletlenségét, arra kényszerítve a szoftvert, hogy kéréseket küldjön egy támadó által vezérelt szerver számára, ha megnyit egy .pdf fájlt.
Ez a módszer alkalmas lehet arra, hogy a hackerek jelszó hash fájlokhoz jussanak, illetve értesítést kapjanak minden alkalommal, ha egy fájl megnyitásra kerül.
A második CVE-2019-7815-ös patch remélhetőleg megoldja a problémát. Az Adobe-hoz nem érkezett egyetlen olyan bejelentés sem, hogy a sérülékenységet kihasználták volna, ettől függetlenül mindenkinek azt javasolják, hogy mindenképp frissítsék a legújabb buildre, hogy a kockázatokat a minimálisra csökkentsék.
Forrás: zdnet.com