.
O patch da Adobe para um bug de execução remota de código (RCE) no Acrobat não menciona que a vulnerabilidade é considerada de dia zero nem que existe uma exploração de prova de conceito (PoC), alerta um pesquisador.
Como parte do Patch Tuesday da Adobe, o fornecedor de software criativo corrigiu o CVE-2024-41869, uma vulnerabilidade relatada originalmente em junho pelo pesquisador Haifei Li, fundador da plataforma de detecção de exploits e dia zero Expmon.
O aviso de Li vem porque a vulnerabilidade recebeu apenas uma pontuação base CVSS de 7,8, o que não tem o mesmo peso de uma classificação de gravidade crítica. Considerando que há um exploit PoC por aí, no geral isso significa que os administradores de sistemas podem não dar à vulnerabilidade o nível de priorização que ela merece.
Para crédito da Adobe, o fornecedor diz que a vulnerabilidade de uso após liberação carrega uma classificação de gravidade “crítica”, apesar de sua pontuação CVSS sugerir que a gravidade é “alta” — um degrau abaixo de crítica.
Originalmente, a Expmon esperava que um patch fosse lançado mais cedo, dada a data do relatório de junho, e seu relato do processo sugere que esse era o plano desde o início, mas a primeira correção não funcionou direito.
“Posso confirmar que nossa equipe de produtos Acrobat identificou uma correção secundária que é necessária para resolver completamente esse problema”, disse a Adobe à Expmon em agosto. “Estamos revisando e trabalhando ativamente para priorizar a correção em um patch futuro. Entrarei em contato com você assim que tivermos um prazo de lançamento claro.”
A Expmon disse que compartilhará o PDF de amostra que recebeu contendo o exploit PoC “nos próximos dias”, então aplicar patches rapidamente será duplamente importante quando o modelo do exploit estiver disponível para todos analisarem.
O arquivo PDF não contém um exploit completo como está, a Expmon disse quando anunciou a descoberta em junho. Não foi encontrada nenhuma carga maliciosa na amostra, mas a base foi preparada para um ataque RCE muito possível. Como está, isso apenas leva a uma falha do aplicativo Acrobat Reader.
No entanto, quando a amostra for lançada, provavelmente não demorará muito para que essa base seja utilizada por alguns bandidos.
Não está claro por que a Adobe nunca mencionou a existência de um PoC ou que os pesquisadores o consideraram uma vulnerabilidade de dia zero. Entramos em contato com o fornecedor para obter respostas e atualizaremos a história se ele responder.
Considerando que a pontuação CVSS não estava na faixa crítica, os defensores geralmente apreciam informações adicionais, como se os exploits funcionais são conhecidos pelo fornecedor, para que seu processo de aplicação de patches possa ser mais bem informado.
Mais detalhes sobre o assunto serão divulgados no próximo blog coautorado pela Expmon e pela Check Point Research. ®
.
