Adobe, bu yılın Aralık Yaması Salı günü güncellemesiyle, yalnızca iki PDF uygulaması için çok sayıda güvenlik açıklarını ele almak üzere bu programı kapatıyor. Bu, Microsoft’un bu ürün için birkaç ay boyunca ne yaptığı konusunda iki kattan fazla. Adobe bugün, Acrobat ve Reader yazılım ürünlerini hem macOS hem de Windows işletim sistemleri için etkileyen 87 güvenlik açığını yatırarak 39’u kritik ve 48’si önem derecesine sahip.
Güvenlik güncellemesi, Adobe’nin bir Rus devlet sağlık kurumunu hedef alan hedefli bir saldırıda aktif olarak kullanılmakta olan Flash Player’da kritik bir sıfır günlük güvenlik açığı (CVE-2018-15982) yayınladıktan sonra bir haftadan kısa bir süre sonra gerçekleşir .
Acrobat ve Reader’da bugün ele alınan kritik güvenlik açıkları arasında üç yığın taşma hatası, beş sınır aşan yazma hatası, iki güvenilir olmayan işaretçi hatası sorunu, iki arabellek hatası ve 24 kullanım sonrası hatalar bulunmaktadır.
Başarılı bir şekilde istifade edildikten sonra, yukarıdaki kritik güvenlik açıklarının tümü, bir saldırganın güvenliği ihlal edilmiş bilgisayarlarda isteğe bağlı kod yürütmesine izin verir. Bu ay dile getirilen üç kritik derecelendirme meselesinin tümü, eğer istismar edildiyse, ayrıcalık yükselmesine yol açacak olan tüm güvenlik baypas sorunlarıdır. Kritik hatalara ek olarak, Adobe, Acrobat ve Reader’daki 48 ‘önemli’ güvenlik kusurunu yamalardı. Bunların arasında 43’ü sınır dışı okuma sorunları, dört tamsayı taşması hatası ve iki güvenlik baypas sorunu bulunuyor. Firmanın destek web sitesine göre, güvenlik açığı önemli olarak derecelendirildi, “eğer kullanılıyorsa veri güvenliğini tehlikeye atabilir, potansiyel olarak gizli verilere erişime izin verebilir veya bir kullanıcının bilgisayarında işlem kaynaklarını tehlikeye atabilir.” Şirket, güvenlik açıklarından herhangi birinin teknik ayrıntılarını açıklamamış, ancak hem kritik hem de önemli olan tüm kusurları “Öncelik 2” olarak kategorize etmiştir. Bu durum, kusurların vahşi alanda istismar edilmesinin muhtemel olmadığı, ancak sömürülme riskinin yüksek olduğu anlamına gelmektedir.
Adobe, “Şu anda bilinen bir istisna yok. Önceki deneyimlere dayanarak, istismarların yakın olacağını tahmin etmiyoruz” diyor. “En iyi uygulama olarak Adobe, yöneticilerin güncellemeyi yakında yüklemesini (örneğin, 30 gün içinde) önerir.”
Windows ve macOS işletim sistemleri için Adobe Acrobat ve Reader uygulamalarının kullanıcılarının yazılım paketlerini en kısa zamanda en güncel sürümlerine güncellemeleri şiddetle tavsiye edilir.