Adobe修補Acrobat可造成任意程式碼執行的重大漏洞

Adobe本周發布安全更新，修補PDF軟體Acrobat及Reader二項可允許執行任意程式碼的重大漏洞。

這二項漏洞中，CVE-2024-41869為使用已釋放記憶體（Use After Free）漏洞，CVE-2024-45112為型態混淆（Type Confusion）漏洞，即以不相容型態的訊息存取資源。Adobe並未詳細說明漏洞影響，不過根據資安業者Tenable，二個漏洞都可能引發任意程式碼執行。

雖然Adobe的安全公告將兩漏洞CVSS風險值列為7.8和8.6，但Tenable公告顯示二者CVSSv3 base score為9.8。

其中CVE-2024-41869為資安研究人員Haifei Li發現。他創立的沙箱惡意程式偵測和分析系統Expmon今年稍早接到大量遭植入概念驗證攻擊程式的PDF樣本，意謂該軟體漏洞為零時差漏洞。CVE-2024-45112則由不知名的研究人員通報。

受兩漏洞影響的Adobe產品為Windows及macOS版的Acrobat Reader DC（Windows版24.003.20054及以前，MacOS版24.002.21005及以前）、Acrobat 2020及Acrobat Reader 2020（20.005.30655及以前版本），以及Acrobat 2024（24.001.30159及以前版本）。Adobe建議用戶儘速更新軟體到最新版本。