
Adobe a publié des mises à jour de sécurité pour corriger une vulnérabilité zero-day dans Acrobat et Reader marquée comme exploitée lors d’attaques.
Même si des informations supplémentaires sur les attaques n’ont pas encore été divulguées, on sait que le jour zéro affecte à la fois les systèmes Windows et macOS.
« Adobe est conscient que CVE-2023-26369 a été exploité dans le cadre d’attaques limitées ciblant Adobe Acrobat et Reader », a déclaré la société dans un avis de sécurité publié aujourd’hui.
La faille de sécurité critique est identifiée comme CVE-2023-26369 et peut permettre aux attaquants d’exécuter du code après avoir exploité avec succès une faiblesse d’écriture hors limites.
Bien que les acteurs malveillants puissent l’exploiter dans le cadre d’attaques de faible complexité sans nécessiter de privilèges, la faille ne peut être exploitée que par des attaquants locaux et nécessite également une interaction de l’utilisateur, selon son score CVSS v3.1.
CVE-2023-26369 a été classé par Addobe avec une priorité maximale, la société conseillant fortement aux administrateurs d’installer la mise à jour dès que possible, idéalement dans un délai de 72 heures.
La liste complète des produits et versions concernés se trouve dans le tableau ci-dessous.

Aujourd’hui, Adobe a corrigé davantage de failles de sécurité qui peuvent permettre aux attaquants d’exécuter du code arbitraire sur les systèmes exécutant les logiciels Adobe Connect et Adobe Experience Manager non corrigés.
Les bogues Connect (CVE-2023-29305 et CVE-2023-29306) et Experience Manager (CVE-2023-38214 et CVE-2023-38215) corrigés aujourd’hui peuvent tous être utilisés pour lancer des attaques de cross-site scripting (XSS) réfléchies.
Ils peuvent être exploités pour accéder aux cookies, aux jetons de session ou à d’autres informations sensibles stockées par les navigateurs Web des cibles.
En juillet, Adobe a lancé une mise à jour de sécurité d’urgence de ColdFusion pour remédier à un jour zéro (CVE-2023-38205) exploité à l’état sauvage dans le cadre d’attaques limitées.
Quelques jours plus tard, la CISA a ordonné aux agences fédérales de sécuriser les serveurs Adobe ColdFusion sur leurs réseaux contre le bug activement exploité avant le 10 août.