L’agenzia statunitense per la sicurezza delle infrastrutture e della cybersecurity (CISA) ha aggiunto martedì un grave difetto in Adobe Acrobat Reader al suo catalogo di vulnerabilità note ed attivamente sfruttate (KEV), citando prove di sfruttamento attivo.
Identificata come CVE-2023-21608 e con un punteggio CVSS di 7.8, la vulnerabilità è stata descritta come un bug di tipo “use-after-free” che può essere sfruttato per ottenere l’esecuzione di codice remoto (RCE) con i privilegi dell’utente corrente. Adobe ha rilasciato una patch per questo difetto a gennaio 2023. I ricercatori di sicurezza di HackSys, Ashfaq Ansari e Krishnakant Patil, sono stati accreditati per aver scoperto e segnalato il difetto.
Le seguenti versioni del software sono interessate:
- Acrobat DC – 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti (corretto nella versione 22.003.20310)
- Acrobat Reader DC – 22.003.20282 (Win), 22.003.20281 (Mac) e versioni precedenti (corretto nella versione 22.003.20310)
- Acrobat 2020 – 20.005.30418 e versioni precedenti (corretto nella versione 20.005.30436)
- Acrobat Reader 2020 – 20.005.30418 e versioni precedenti (corretto nella versione 20.005.30436)
I dettagli riguardanti la natura dello sfruttamento e gli attori delle minacce che potrebbero abusare di CVE-2023-21608 sono attualmente sconosciuti. Un exploit proof-of-concept (PoC) per il difetto è stato reso disponibile alla fine di gennaio 2023.
CVE-2023-21608 è anche la seconda vulnerabilità di Adobe Acrobat e Reader che ha visto uno sfruttamento nel mondo reale dopo CVE-2023-26369, un problema di scrittura fuori dai limiti che potrebbe risultare nell’esecuzione di codice aprendo un documento PDF appositamente creato.
Le agenzie del ramo esecutivo civile federale (FCEB) sono tenute ad applicare le patch fornite dal fornitore entro il 31 ottobre 2023 per proteggere le loro reti da potenziali minacce.
