Adobe, Acrobat ve Reader’da saldırılarda istismar edildiği şeklinde etiketlenen sıfır gün güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Saldırılara ilişkin ek bilgiler henüz açıklanmasa da sıfır günün hem Windows hem de macOS sistemlerini etkilediği biliniyor.
Şirket bugün yayınlanan güvenlik tavsiyesinde “Adobe, CVE-2023-26369’un Adobe Acrobat ve Reader’ı hedef alan sınırlı saldırılarda yaygın olarak kullanıldığının farkındadır” dedi.
Kritik güvenlik açığı CVE-2023-26369 olarak izleniyor ve saldırganların sınır dışı yazma zayıflığından başarıyla yararlandıktan sonra kod yürütmesine olanak tanıyor.
Tehdit aktörleri, ayrıcalık gerektirmeden düşük karmaşıklıktaki saldırılarda bu kusurdan yararlanabilirken, CVSS v3.1 puanına göre bu kusurdan yalnızca yerel saldırganlar yararlanabiliyor ve kullanıcı etkileşimi de gerektiriyor.
CVE-2023-26369, Addobe tarafından maksimum öncelik derecesiyle sınıflandırıldı; şirket, yöneticilere güncellemeyi mümkün olan en kısa sürede, ideal olarak 72 saatlik bir pencere içinde yüklemelerini şiddetle tavsiye ediyor.
Etkilenen ürünlerin ve sürümlerin tam listesi aşağıdaki tabloda yer almaktadır.
| Ürün | İzlemek | Etkilenen Sürümler |
| Akrobat DC | Sürekli | 23.003.20284 ve öncesi |
| Acrobat Reader DC | Sürekli | 23.003.20284 ve öncesi |
| Akrobat 2020 | Klasik 2020 | 20.005.30516 (Mac) ve öncesi 20.005.30514 (Kazanma) ve öncesi |
| Akrobat Okuyucu 2020 | Klasik 2020 | 20.005.30516 (Mac) ve öncesi 20.005.30514 (Kazanma) ve öncesi |
Bugün Adobe, saldırganların yama yapılmamış Adobe Connect ve Adobe Experience Manager yazılımı çalıştıran sistemlerde rastgele kod yürütmesine olanak tanıyan daha fazla güvenlik açığını giderdi.
Bugün düzeltilen Bağlantı (CVE-2023-29305 ve CVE-2023-29306) ve Deneyim Yöneticisi (CVE-2023-38214 ve CVE-2023-38215) hatalarının tümü, yansıtılan siteler arası komut dosyası çalıştırma (XSS) saldırılarını başlatmak için kullanılabilir.
Hedeflerin web tarayıcıları tarafından saklanan çerezlere, oturum belirteçlerine veya diğer hassas bilgilere erişmek için bunlar kullanılabilir.
Temmuz ayında Adobe, sınırlı saldırıların bir parçası olarak yaygın olarak kullanılan sıfır gün (CVE-2023-38205) sorununu gidermek için acil bir ColdFusion güvenlik güncellemesi yayınladı.
Günler sonra CISA, federal kurumlara ağlarındaki Adobe ColdFusion sunucularını aktif olarak istismar edilen hataya karşı 10 Ağustos’a kadar koruma altına almalarını emretti.