Acrobat Reader 中存在一个RCE 漏洞 (CVE-2024-41869)，其 PoC 已公开。

该漏洞是一个严重的释放后使用 (UAF) 漏洞，可导致在打开一个特殊构造的 PDF 文档时造成远程代码执行。UAF 漏洞是指当程序尝试访问已被释放或发布的内存位置中的数据时，就会被触发，从而导致异常行为如程序崩溃或冻结。

然而，如果威胁行动者能够在该内存位置存储恶意代码，而且程序后续访问它，就会导致在目标设备上执行恶意代码。该漏洞已在最新版本的 Acrobat Reader 和 Adobe Acrobat 版本中修复。

6月已出现PoC利用

该 Acrobat Reader 0day 漏洞由研究员Haifei Li 创建的基于沙箱的平台 EXPMON 发现。该平台用于检测高阶利用如0day或难以检测（了解）的利用。他指出，“我创建 EXPMON 是因为我注意到市场上没有从利用或漏洞角度专门检测威胁的基于沙箱的检测分析系统。其它系统从恶意软件的角度进行检测，而利用/漏洞角度的检测对于高阶或更早检测而言更有必要。例如，如果因为某些条件，没有释放或执行恶意软件，或者攻击根本没有使用恶意软件，那么从恶意软件角度的检测系统就会错过这些威胁。利用的运行方式和恶意软件大不相同，因此该平台应运而生。”

某个公开来源将大量样本提交到 EXPMON 平台进行分析时，发现了该0day 漏洞。这些样本包含一个导致崩溃的 PoC 利用的PDF文件。虽然该 PoC 利用尚未完成且不含恶意 payload，但它利用的是一个UAF漏洞，而该漏洞可用于远程代码执行。

研究员将该漏洞报送给 Adobe 公司后，后者在8月份发布安全更新。然而，该更新并未修复该漏洞，关闭多个会话后仍然可被触发。EXPMON 平台发布帖子称，“我们在‘已打补丁的’ Adobe Reader 版本上测试了同样的样本，它显示了更多的对话，但如果用户点击/关闭这些会话后，该 app 仍然崩溃！还是同一个UAF漏洞！”昨天，Adobe 发布新的安全更新修复了该漏洞，并分配编号CVE-2024-41869。

研究员将在 EXPMON 博客上发文详述如何检测到该漏洞，并在 Check Point 研究报告中发布更多技术详情。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~