حذر أحد الباحثين من أن التصحيح الذي أطلقته شركة Adobe هذا الأسبوع لخلل تنفيذ التعليمات البرمجية عن بعد (RCE) في Acrobat لا يذكر أن هذه الثغرة تعتبر ثغرة يوم الصفر ولا وجود لاستغلال لإثبات المفهوم (PoC).
كجزء من Adobe”_blank” هريف=”https://www.theregister.com/2024/09/11/patch_tuesday_september_2024/”>تصحيح الثلاثاءقام مبرمج البرمجيات الإبداعي بإصلاح CVE-2024-41869 – وهي ثغرة أمنية تم الإبلاغ عنها في الأصل في شهر يونيو بواسطة الباحث Haifei Li، مؤسس منصة اكتشاف اليوم صفر والاستغلال Expmon.
يأتي تحذير لي في الوقت الذي تم فيه تعيين الثغرة الأمنية على درجة أساسية تبلغ 7.8 من 10 في نظام CVSS، وهو ما لا يحمل نفس وزن تصنيف الخطورة الحرجة. ونظرًا لوجود ثغرة أمنية في البرية، فهذا يعني أن مسؤولي النظام قد لا يعطون الثغرة الأمنية المستوى الذي تستحقه من الأولوية.
لصالح Adobe، يقول البائع أن ثغرة الاستخدام بعد التحرير تحمل “critical” تصنيف الشدة، على الرغم من أن درجة CVSS تشير إلى أن الشدة هي “high” – درجة واحدة أقل من الحرجة.
توقعت شركة Expmon في الأصل إصدار تصحيح في وقت أقرب نظرًا لتاريخ تقرير يونيو، وتشير روايتها للعملية إلى أن هذه كانت الخطة طوال الوقت، ولكن الإصلاح الأول”_blank” هريف=”https://x.com/EXPMON_/status/1823776052788830675″ rel=”nofollow”>لم يقم بالمهمة بشكل جيد.
“أستطيع أن أؤكد ذلك””_blank” https://www.theregister.com/2023/02/10/microsoft_edge_pdf_acrobat/”>Acrobat product team has identified a secondary fix that is required to fully address this issue,” أخبرت شركة Adobe شركة Expmon في أغسطس. “We are actively reviewing and working to prioritize the fix in an upcoming patch. I will be sure to follow up with you once we have a clear release time frame.”
- هل سئمت من طوابير الانتظار في المطارات؟ ادعى باحثون أن SQL يحقنك في قمرة القيادة
- يشتبه في أن Volt Typhoon استغل ثغرة Versa SD-WAN منذ يونيو
- تحديث الثلاثاء من مايكروسوفت يعطل أجهزة الكمبيوتر ذات التمهيد المزدوج بنظامي التشغيل Linux وWindows
- أعلنت شركة جوجل عن استغلال ثغرة خطيرة في نواة نظام التشغيل أندرويد، والتي تسمح باختراق الأجهزة، وغيرها من الأخطاء
قالت شركة Expmon إنها ستشارك ملف PDF النموذجي الذي حصلت عليه والذي يحتوي على ثغرة PoC “within the next few days,” لذا فإن التصحيح السريع سيكون مهمًا بشكل مضاعف بمجرد أن يصبح مخطط الاستغلال متاحًا للجميع للاطلاع عليه.
قالت شركة Expmon عندما أعلنت عن الاكتشاف في شهر يونيو إن ملف PDF لا يحتوي على ثغرة أمنية كاملة كما هو الحال. لم يتم العثور على حمولة ضارة في العينة، ولكن تم وضع الأساس لهجوم RCE محتمل للغاية. كما هو الحال، فإنه يؤدي فقط إلى تعطل تطبيق Acrobat Reader.
ومع ذلك، بمجرد إصدار العينة، فمن المرجح أنه لن يمر وقت طويل قبل أن يتم استغلال هذا الأساس من قبل بعض الأشرار.
ليس من الواضح لماذا لم تذكر Adobe أبدًا وجود إثبات المفهوم أو أن الباحثين اعتبروه ثغرة أمنية يوم الصفر. لقد تواصلنا مع البائع للحصول على إجابات وسنقوم بتحديث القصة إذا استجاب.
نظرا إلى”_blank” هريف=”https://www.theregister.com/2024/03/22/opinion_column_nist/”>درجة CVSS إذا لم يكن الأمر ضمن النطاق الحرج، فإن المدافعين عادةً ما يقدرون المعلومات الإضافية مثل ما إذا كانت الثغرات العاملة معروفة لدى البائع، حتى يمكن أن تكون عملية التصحيح الخاصة بهم أكثر إعلامًا.
سيتم نشر المزيد من التفاصيل حول هذه القضية في المدونة القادمة التي شارك في تأليفها كل من Expmon وCheck Point Research. ®