Adobe修补已遭黑客滥用的Adobe Acrobat Reader程式码执行漏洞

     Adobe昨（5月11日）日释出安全更新，修补43项漏洞，包括一个已经被利用的Windows版Acrobat Reader任意程式码执行漏洞。

     被利用的漏洞发生在Acrobat Reader Windows及mac版，编号CVE-2021-28550。Adobe没有详述细节，只说明一旦利用成功，可在现有用户环境下执行任意代码。该漏洞也被列为重大风险漏洞。

     受这项漏洞影响的产品包括Acrobat DC、Acrobat Reader DC、Acrobat 2020、 Acrobat Reader 2020、Acrobat 2017和Acrobat Reader 2017。使用者只要透过上述产品开启经过恶意变造的PDF档，即可触发该漏洞。

     Adobe指出，网络上已发生针对Windows版Adobe Acrobat Reader「有限」的攻击。Adobe也呼吁用户尽速下载安装安全更新。

     CVE-2021-28550只是Adobe发布的五月份安全更新修补的43项漏洞之一，不过也是本月唯一被外界知悉的漏洞。macOS及Windows版Adobe Acrobat and Reader 产品线另外也包含重要风险等级的漏洞。

     其他还包括14项重要（important）和重大（critical）风险漏洞，涵括频外写入、频外读取、堆积型缓冲溢位漏洞，及使用已释放记忆体（use after free）漏洞，影响Adobe Experience Manager、InDesign、Illustrator、InCopy、 Adobe Genuine Service、Magento、Creative Cloud Desktop、Media Encoder、Medium和Animate等产品。其中InDesign、Illustrator、Creative Cloud Desktop及Mageno皆包含任意程式码执行的重大漏洞。