Adobe rilascia aggiornamenti per vulnerabilità critiche

04/01/2019

Adobe Patch Vulnerabilità

Anticipando il rilascio cadenzato delle vulnerabilità mensili, Adobe ha pubblicato ieri un nuovo bollettino di sicurezza (APSB19-02) nel quale vengono riportate le patch che correggono due vulnerabilità classificate come critiche rispettivamente in Adobe Acrobat e Reader che consentirebbero l’escalation dei privilegi e l’esecuzione di codice arbitrario su sistemi Windows e macOS.

Adobe non ha rilasciato dettagli tecnici sulle vulnerabilità, le uniche informazioni riportate riguardano la tipologia, l’impatto e il CVE associato.

La prima delle due vulnerabilità ricade nella categoria “Use After Free” e, se correttamente sfruttata, consentirebbe l’esecuzione di codice arbitrario, ad esempio facendo scaricare malware alla vittima semplicemente cliccando su un pdf senza che quest’ultima ne sia a conoscenza. Alla vulnerabilità è stato associato il CVE-2018-16011,

La seconda, alla quale è stato assegnato il CVE-2018-16018, risulta categorizzata come “Security Bypass” e consentirebbe l’escalation di privilegi.

Entrambe le vulnerabilità sono state segnalate dal gruppo di ricerca ZDI di TrendMicro e al momento non sembra sia stato osservato sfruttamento sul web. A tal proposito Adobe ha assegnato un Priority Rating pari a 2.

In ogni caso il CERT-PA consiglia vivamente di installare le patch per Windows e macOS disponibili nella pagina del bollettino. Di seguito le versioni interessate:

  • Acrobat DC / Acrobat Reader DC versione 2019.010.20069
  • Acrobat 2017 / Acrobat Reader DC 2017 versione 2017.011.30113
  • Acrobat DC / Acrobat Reader DC versione 2015.006.30464