Adobe發布Adobe Acrobat新版本, 緊急修復Mac版本安全漏洞
Adobe近日對Acrobat DC和Acrobat Reader進行了更新,此次更新為緊急安全性更新。是為了修復由騰訊安全玄武實驗室研究員Yuebin Sun發現並上報的三個邏輯漏洞。根據Sun的說法,該漏洞能讓本地用戶通過Acrobat DC獲得對macOS計算機的root訪問權限,並在用戶完全不知情的情況下訪問敏感數據。並且macOS System Integrity Protection也並不能發現並進行防禦。不過該漏洞只能通過本地訪問,因此我們不用擔心黑客通過此漏洞進行入侵。
Sun也解釋了該問題產生的原因:由於Acrobat中的關鍵進程以root身份運行而不是被沙盒化,因此可以利用該缺陷獲得對某人整個計算機的系統級訪問權限。
所以針對該問題,Adobe發布的Acrobat更新除了封堵漏洞以外,還改變了運行機制。通過添加保護模式(沙盒),讓Acrobat中的所有功能和工作流程都在其中運行。不過該模式默認為關閉狀態,需要手動開啟。
如何啟用保護模式:
- 點擊菜單,轉到編輯>首選項
- 在類別中單擊安全性(增強),然後選擇在啟動時啟用保護模式(預覽)。
- 重啟Adobe Arcobat。
在Adobe的安全公告中,他們公佈了該漏洞的詳細信息以及受影響的軟件:Acrobat DC 、Acrobat Reader DC、Acrobat 2017、Acrobat Reader 2017、Acrobat 2015和Acrobat Reader 2015。並且建議所有用戶都進行更新。