L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié mardi ajoutée une faille de haute gravité dans Adobe Acrobat Reader liée à ses vulnérabilités exploitées connues (KEV), citant des preuves d’une exploitation active.
Suivi comme CVE-2023-21608 (score CVSS : 7,8), la vulnérabilité a été décrite comme un bug d’utilisation après libération qui peut être exploité pour réaliser l’exécution de code à distance (RCE) avec les privilèges de l’utilisateur actuel.
Un correctif pour la faille a été publié par Adobe en janvier 2023. Les chercheurs en sécurité de HackSys Ashfaq Ansari et Krishnakant Patil étaient crédité avec la découverte et le signalement de la faille.
Le versions suivantes des logiciels sont impactés –
- Acrobat DC – 22.003.20282 (Win), 22.003.20281 (Mac) et versions antérieures (corrigé dans 22.003.20310)
- Acrobat Reader DC – 22.003.20282 (Win), 22.003.20281 (Mac) et versions antérieures (corrigé dans 22.003.20310)
- Acrobat 2020 – 20.005.30418 et versions antérieures (corrigé dans 20.005.30436)
- Acrobat Reader 2020 – 20.005.30418 et versions antérieures (corrigé dans 20.005.30436)
Les détails concernant la nature de l’exploitation et les acteurs menaçants qui pourraient abuser de CVE-2023-21608 sont actuellement inconnus. Un exploit de preuve de concept (PoC) pour la faille a été mise à disposition fin janvier 2023.
CVE-2023-21608 est également la deuxième vulnérabilité d’Adobe Acrobat et Reader qui a été exploitée dans la nature après CVE-2023-26369, un problème d’écriture hors limites qui pourrait entraîner l’exécution de code en ouvrant un PDF spécialement conçu. document.
Les agences du Pouvoir exécutif civil fédéral (FCEB) sont tenues d’appliquer les correctifs fournis par le fournisseur d’ici le 31 octobre 2023, afin de sécuriser leurs réseaux contre les menaces potentielles.