Adobe - CVE-2023-21608
Date de publication :
Date de mise à jour :
Un défaut de libération de la mémoire lors de l’exécution de resetForm dans Adobe Acrobat Reader permet à un attaquant, en persuadant une victime d’ouvrir un fichier spécifiquement forgé, d’exécuter du code arbitraire sur le système ou de provoquer un déni de service.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-416: Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Local.
• Complexité de l'attaque : Faible.
• Privilèges nécessaires pour réaliser l'attaque : Aucun.
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui.
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Acrobat DC et Acrobat Reader DC
Versions 22.003.20282 et antérieures sur Windows
Versions 22.003.20281 et antérieures sur Mac
Acrobat 2020 et Acrobat Reader 2020
Versions 20.005.30418 et antérieures
Solutions ou recommandations
Mettre à jour Acrobat DC et Acrobat Reader DC vers la version 22.003.20310 ou ultérieure.
Mettre à jour Acrobat 2020 et Acrobat Reader 2020 vers la version 22.005.30436 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin d’Adobe.