CVE-2023-26369
Adobe Acrobat and Reader
2023-09-14
Adobe Acrobat and Reader contains an out-of-bounds write vulnerability that allows for code execution.
Технический анализ и план устранения
Суть уязвимости
CVE-2023-26369 представляет собой критическую уязвимость типа Out-of-bounds Write (запись за пределами границ буфера) в Adobe Acrobat и Reader. Ошибка возникает при обработке специально сформированных PDF-файлов. Злоумышленник может использовать этот недостаток для выполнения произвольного кода (RCE) в контексте текущего пользователя. Уязвимость активно эксплуатировалась "в дикой природе" (In the Wild) как 0-day, что повышает приоритет её устранения до критического.
Как исправить
Основным и наиболее эффективным методом устранения является обновление программного обеспечения до актуальных версий, в которых ошибка исправлена (Acrobat DC/Acrobat Reader DC версии 23.006.20322 и выше).
Для Windows (через PowerShell): Если используется пакетный менеджер Winget, обновление можно выполнить одной командой:
winget upgrade --id Adobe.Acrobat.Reader.64-bit
Для системных администраторов (SCCM/GPO): Необходимо загрузить актуальный MSP-патч с официального сайта Adobe и развернуть его в сети. Проверить текущую версию можно через реестр:
Get-ItemProperty HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Select-Object DisplayName, DisplayVersion | Where-Object { $_.DisplayName -like "Adobe Acrobat*" }
Ручное обновление: 1. Откройте Adobe Acrobat или Reader. 2. Перейдите в меню "Справка" (Help). 3. Выберите "Проверить наличие обновлений" (Check for Updates). 4. Следуйте инструкциям установщика для завершения процесса.
Временные меры
Если немедленное обновление невозможно, необходимо применить настройки для снижения риска эксплуатации:
1. Включение защищенного режима (Protected Mode): Убедитесь, что "Защищенный режим при запуске" включен, так как он ограничивает доступ вредоносного кода к системе через песочницу.
New-ItemProperty -Path "HKCU:\Software\Adobe\Acrobat Reader\DC\Privileged" -Name "bProtectedMode" -PropertyType DWord -Value 1 -Force
2. Отключение JavaScript в Adobe Reader: Значительная часть эксплойтов для PDF использует JavaScript для подготовки кучи (heap spraying).
New-ItemProperty -Path "HKCU:\Software\Adobe\Acrobat Reader\DC\JSPrefs" -Name "bJsAllowed" -PropertyType DWord -Value 0 -Force
3. Использование Enhanced Security: Активируйте усиленную безопасность для блокировки доступа к подозрительным ресурсам.
New-ItemProperty -Path "HKCU:\Software\Adobe\Acrobat Reader\DC\TrustManager" -Name "bEnhancedSecurityStandalone" -PropertyType DWord -Value 1 -Force
4. Ограничение открытия подозрительных вложений: Проинструктируйте пользователей не открывать PDF-файлы из недоверенных источников и используйте средства защиты почтового шлюза для блокировки входящих PDF с активным содержимым.