Adobe

Adobe本周发布安全更新，修补PDF软件Acrobat及Reader二项可允许执行任意程序码的重大漏洞。

这二项漏洞中，CVE-2024-41869为使用已释放记忆体（Use After Free）漏洞，CVE-2024-45112为型态混淆（Type Confusion）漏洞，即以不相容型态的讯息存取资源。Adobe并未详细说明漏洞影响，不过根据资安业者Tenable，二个漏洞都可能引发任意程序码执行。

虽然Adobe的安全公告将两漏洞CVSS风险值列为7.8和8.6，但Tenable公告显示二者CVSSv3 base score为9.8。

其中CVE-2024-41869为资安研究人员Haifei Li发现。他创立的沙箱恶意程序侦测和分析系统Expmon今年稍早接到大量遭植入概念验证攻击程序的PDF样本，意谓该软件漏洞为零时差漏洞。CVE-2024-45112则由不知名的研究人员通报。

受两漏洞影响的Adobe产品为Windows及macOS版的Acrobat Reader DC（Windows版24.003.20054及以前，MacOS版24.002.21005及以前）、Acrobat 2020及Acrobat Reader 2020（20.005.30655及以前版本），以及Acrobat 2024（24.001.30159及以前版本）。Adobe建议用户儘速更新软件到最新版本。