Adobe: anuncia um erro no Acrobat & Reader, mas não o corrige

Pela segunda vez, a Adobe corrigiu as mesmas vulnerabilidades nos aplicativos Acrobat e Reader PDF. A versão do APSB19-13, lançada hoje, parece eliminar completamente a vulnerabilidade CVE-2019-7089, que a empresa tentou solucionar com uma atualização no início deste mês.

Aparentemente, ele não teve sucesso, mas a versão de hoje, como afirma a empresa, veio para fechar a lacuna de segurança.adobe

Em outras palavras, a atualização mais antiga da Adobe não resolve completamente o problema; portanto, todos os usuários precisarão atualizar seus aplicativos Acrobat e Reader novamente.

De acordo com o Symantec Security Focus, a vulnerabilidade é o resultado de um erro de condição de contorno no Reader e no Acrobat e pode ser usada remotamente por invasores.

Para aproveitar a vulnerabilidade, a vítima precisará abrir um arquivo interceptado no Acrobat ou Reader, que pode ser enviado por email ou baixado de uma página. Ao abrir o arquivo, as informações do computador podem acabar nas mãos erradas.

O que há de errado com os dois patches?

Essa é uma falha na divulgação de dados, que a torna menos séria do que as vulnerabilidades que facilitam a execução de código remoto, mas a Adobe teve que corrigi-lo de qualquer maneira.

O reparo da Adobe veio como parte de um grande pacote de atualização lançado no Patch Tuesday em colaboração com a Microsoft. O pacote reparou 150 vulnerabilidades do CVE no Flash, Acrobat, Reader, Office e Windows.

Por isso, a Adobe anunciou o erro (isto é, tornou-o conhecido por hackers em todos os lugares), mas não o corrigiu. Inteligente?

_________________