Її додали до каталогу Known Exploited Vulnerabilities.
Ваду в Adobe Acrobat Reader виявили фахівці компанії з дослідження вразливостей HackSys. Відстежується вона як CVE-2023-21608 (оцінка CVSS: 7,8) і описана як помилка використання після звільнення; її можна застосувати для досягнення віддаленого виконання коду (RCE) з привілеями поточного користувача. Посилаючись на докази активного використання, агентство з кібербезпеки та безпеки інфраструктури США (CISA) додало цю вразливість до свого каталогу Known Exploited Vulnerabilities (KEV).
У січні 2023 року компанія Adobe випустила патч для цієї вади. Стосується вона наступних версій ПЗ від Adobe:
Acrobat DC – 22.003.20282 (Win), 22.003.20281 (Mac) і попередні версії (виправлено у 22.003.20310);
Acrobat Reader DC – 22.003.20282 (Win), 22.003.20281 (Mac) і попередні версії (виправлено у 22.003.20310);
Acrobat 2020 – 20.005.30418 і попередні версії (виправлено у 20.005.30436);
Acrobat Reader 2020 – 20.005.30418 і попередні версії (виправлено у 20.005.30436).
Подробиці щодо характеру експлуатації і зловмисників, які можуть використовувати CVE-2023-21608, наразі невідомі. Це вже друга вразливість Adobe Acrobat і Reader, яку застосовували у дикому кіберпросторі, після CVE-2023-26369 (проблеми запису поза межами буфера, яка може призвести до виконання коду під час відкриття спеціально створеного PDF-документа).
Агентства федеральної цивільної виконавчої влади США (FCEB) для захисту своїх мереж мають застосувати надані постачальниками виправлення до 31 жовтня 2023 року.
