Adobe修复Reader和Acrobat中的零日漏洞

Adobe系统公司发布了一个安全公告,提醒注意用于Windows平台的Adobe Reader和Acrobat中的一个严重零日漏洞。安全报告中,Adobe称攻击者正在积极的利用该漏洞。

该漏洞影响用于Windows和Macintosh的Adobe Reader X 10.1.1及早期版本,用于UNIX的Adobe Reader 9.4.6和更早的9.x版本,用于Windows和Macintosh的Adobe Acrobat X10.1.1及早期版本。

这个关键的漏洞,CVE-2011-2462,由于U3D内存中的中断引起的,该技术允许Reader和Acrobat与3D对象进行交互 (interact with 3D objects)。攻击者可以创建包含一个3D对象的恶意PDF文件,从而引起系统崩溃,获得对受影响系统的控制。

“有报告显示,该漏洞在针对Windows上的Adobe Reader9.x的目标性攻击中被积极利用,”Adobe在其产品安全事件响应小组(Product Security Incident Response Team,PSIRT)博客文章中这样说道。

Adobe的产品安全和隐私部总监Brad Arkin表示,产品工程师们正在准备一个修补程序,并计划为Windows上的Adobe Reader和Acrobat发布一个额外的安全更新,最晚不迟于12月12日那周。他在一篇透露该漏洞细节的博客文章中写道,Adobe Reader X保护模式(Adobe Reader X Protected Mode)和Adobe Acrobat X保护模式不会进行安全更新,它们的更新要等到下一个季度的Adobe安全更新,定在2012年1月10日,。

“为什么要快速解决Windows上Adobe Reader和Acrobat 9.4.6版本中的问题,原因很简单:该版本及平台目前是攻击者的目标。”Arkin写道,“目前,我们还没有收到任何有关恶意PDF文件利用该漏洞 (CVE,或其他漏洞)针对Macintosh或UNIX上的Adobe Reader或Acrobat的报告。”

自2010年9月以来,这是Adobe Reader和Acrobat代码中首次发现零日漏洞,且不涉及Flash Player。Android平台上的Adobe Flash Player的Adobe Reader不受该漏洞的影响。