CVE-2023-21608
Adobe Acrobat and Reader
2023-10-10
Adobe Acrobat and Reader contains a use-after-free vulnerability that allows for code execution in the context of the current user.
Технический анализ и план устранения
Суть уязвимости
CVE-2023-21608 представляет собой критическую уязвимость типа Use-After-Free (использование памяти после освобождения) в движке обработки JavaScript в Adobe Acrobat и Reader.
Злоумышленник может создать специально сформированный PDF-файл, который при открытии вызывает обращение к уже освобожденному объекту в оперативной памяти. Это приводит к повреждению памяти и позволяет выполнить произвольный код (RCE) в контексте текущего пользователя. Уязвимость имеет высокий рейтинг по шкале CVSS (7.8), так как позволяет полностью скомпрометировать рабочую станцию при минимальном взаимодействии с пользователем.
Как исправить
Основным способом устранения является установка официального патча от Adobe. Необходимо обновить продукт до версии 22.003.20310 (для Continuous track) или выше.
Вариант 1: Обновление через графический интерфейс 1. Откройте Adobe Acrobat или Reader. 2. Перейдите в меню «Справка» (Help). 3. Выберите пункт «Проверка обновлений» (Check for Updates). 4. Следуйте инструкциям установщика.
Вариант 2: Принудительное обновление через PowerShell (для администраторов)
Start-Process -FilePath "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" -ArgumentList "/checknow"
Вариант 3: Развертывание MSI-патча (для корпоративной среды) Скачайте актуальный .msp файл с официального сайта Adobe и выполните установку в тихом режиме:
msiexec.exe /p "AcrobatDCUpd2200320310.msp" /qn /norestart
Временные меры
Если немедленное обновление невозможно, примените следующие настройки для снижения риска эксплуатации:
1. Включение режима защищенного просмотра (Protected View) Этот режим ограничивает выполнение потенциально опасных функций.
New-ItemProperty -Path "HKCU:\Software\Adobe\Acrobat Reader\DC\Privileged" -Name "bProtectedMode" -Value 1 -PropertyType DWord -Force
2. Отключение исполнения JavaScript в PDF Поскольку уязвимость связана с JS-движком, его отключение блокирует вектор атаки.
New-ItemProperty -Path "HKCU:\Software\Adobe\Acrobat Reader\DC\JSPrefs" -Name "bEnableJS" -Value 0 -PropertyType DWord -Force
3. Использование AppLocker или Windows Defender Exploit Guard Настройте политики для блокировки запуска дочерних процессов (например, cmd.exe или powershell.exe) из-под процесса Acrobat.exe или AcroRd32.exe.