Adobe发布紧急安全更新修复Acrobat和Acrobat Reader存在的零日漏洞
此前安全研究员李海飞 (音译) 发文曝光知名 PDF 编辑器和阅读器软件 Adobe Acrobat 和 Adobe Acrobat Reader 中存在的安全漏洞,黑客从 2025 年 11 月开始利用漏洞对特定目标发起攻击,目前相关漏洞已经得到 Adobe 的确认。
目前已知攻击者主要利用漏洞制作恶意 PDF 文档,当用户使用以上软件打开恶意 PDF 文档时就会触发代码执行,整个过程不需要用户进行额外交互,相关恶意载荷则收集环境信息为接下来的攻击做准备。
现在 Adobe 已经发布 Adobe Acrobat 和 Adobe Acrobat Reader 新版本用于封堵漏洞,强烈建议所有使用该软件的用户立即升级到最新版,同时谨慎打开来自陌生人发送的 PDF 文件 (尤其是来自邮件中的文件)。
下面是漏洞更新情况:
影响范围:适用于 Windows 和 macOS 系统的 Adobe Acrobat 和 Adobe Acrobat Reader
影响版本:Acrobat DC / Acrobat Reader DC / Acrobat 2024 26.001.21367 及更早版本
漏洞情况:成功利用此漏洞的攻击者可能可以执行任意代码
漏洞编号:CVE-2026-34621
漏洞评级:严重 / CVSS 3.0 评分 8.6 分 (满分 10 分)
漏洞最初评分达 9.6 分:
根据 Adobe 安全公告中的漏洞修订记录,该漏洞最初评分高达 9.6 分,但之后经过评估后漏洞评分被调整为 8.6 分,原因是漏洞并非远程执行任意代码。
在整个攻击环节中,攻击者需要通过诱饵文件诱导用户下载到本地打开,因此从攻击链来说这并非远程任意代码执行,而是本地任意代码执行。
最终 Adobe 将 CVSS 攻击向量从网络调整为本地,这让整体的 CVSS 评分从 9.6 分降低到 8.6 分。
更新版本:
Adobe Acrobat DC:需更新至 26.001.21411 或更高版本
Adobe Acrobat Reader DC:需更新至 26.001.21411 或更高版本
Adobe Acrobat 2024:需更新至 Windows 24.001.30362、macOS 24.001.30360
离线安装程序下载地址:https://get.adobe.com/cn/reader/
-
CPU-Z和HWMonitor官方网站遭到黑客攻击 用户可能要重装系统
知名硬件检测工具 CPU-Z 和硬件监控工具 HWMonitor 开发商 CPUID 网站日前遭到黑客攻击,黑客通过未知方式入侵该网站的服务器,然后在网站上随机显示恶意链接并诱导用户下载。最初 Red
-
新论文揭示API中转站的恶意行为:注入恶意代码甚至窃取用户的ETH钱包密钥
日前有研究团队发布新论文介绍该团队对市面上各种 API 中转站安全性的分析,分析表明 API 中转站通常缺乏完整的链路加密,这导致中间层级可以窃取用户私密信息,研究人员投放的蜜罐加密货币钱包甚至都被
-
ChatGPT/Codex等多款软件受Axios供应链攻击影响 用户需立即升级
此前知名开源软件库 @Axios 遭到黑客攻击,黑客劫持开发者账号并发布恶意版本,这件事还是发生在 3 月末,但没想到这时候 OpenAI 跳出来说 ChatGPT、Codex、Codex-CLI、A
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注KnowSafe微信公众号随时掌握互联网精彩
- 加拿大POS供应商数据泄露暴露了Live RDP管理员对100k餐厅终端的访问
- httpsok:开源免费的SSL证书 一行命令轻松搞定SSL证书自动续期
- LeaferJS:革新级图形引擎,前端开发的新利器!
- 【清明】朝作轻寒暮作阴,愁中不觉已春深
- 诸子笔会2022 | 陈圣:小议以色列的网络攻防能力建设
- 金牌访谈栏目《架构师说》重磅上线!
- 对比鸿蒙,Google 的 Fuchsia 当前进度如何?
- 员工离职删库被判10个月
- 诸子笔会 | 刘志诚:祛魅!数据安全认知实践再思考
- 315前夕,无辜90后女孩成了桃色新闻的主角
- 明年,我要用 AI 给全村写对联
- 网骗欺诈?网络裸奔?都是因为 HTTP?
