Adobe产品多重漏洞可能导致任意代码执行
MS-ISAC 公告编号:2025-023
发布日期:2025年3月11日
概述
在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。
- Adobe Acrobat和Reader:用于在桌面和移动设备上查看、创建、打印和管理PDF文件
- Substance 3D Sampler:利用AI从真实世界图像创建3D模型和材质的3D扫描软件
- Adobe Illustrator:矢量图形编辑器和设计程序
- Substance 3D Painter:允许用户实时为3D网格添加纹理和材质的3D绘画软件
- Adobe InDesign:用于创建和发布宣传册、数字杂志、电子书、海报和演示文稿
- Substance 3D Modeler:3D建模和雕刻应用程序
- Substance 3D Designer:用于生成纹理的3D设计软件
成功利用这些漏洞中最严重者,可能允许在登录用户上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。在系统上配置为具有较少用户权限的账户用户可能比使用管理员用户权限操作的用户受到的影响更小。
威胁情报
目前没有报告表明这些漏洞在野外被利用。
受影响系统
- Acrobat DC 25.001.20428及更早版本
- Acrobat Reader DC 25.001.20428及更早版本
- Acrobat 2024 24.001.30225及更早版本
- Acrobat 2020 20.005.30748及更早版本
- Acrobat Reader 2020 20.005.30748及更早版本
- Adobe Substance 3D Sampler 4.5.2及更早版本
- Illustrator 2025 29.2.1及更早版本
- Illustrator 2024 28.7.4及更早版本
- Adobe Substance 3D Painter 10.1.2及更早版本
- Adobe InDesign ID20.1及更早版本
- Adobe InDesign ID19.5.2及更早版本
- Adobe Substance 3D Modeler 1.15及更早版本
- Adobe Substance 3D Designer 14.1及更早版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术摘要
在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:
策略:执行(TA0002)
技术:客户端执行利用(T1203)
Adobe Acrobat和Reader:
- 释放后使用(CVE-2025-27174、CVE-2025-27159、CVE-2025-27160)
- 未初始化指针访问(CVE-2025-27158、CVE-2025-27162)
- 释放后使用(CVE-2025-27159、CVE-2025-27160)
- 越界读取(CVE-2025-27161、CVE-2025-24431、CVE-2025-27163、CVE-2025-27164)
Substance 3D Sampler:
- 基于堆的缓冲区溢出(CVE-2025-24439、CVE-2025-24443)
- 越界写入(CVE-2025-24440、CVE-2025-24441、CVE-2025-24442、CVE-2025-24444、CVE-2025-24445)
Adobe Illustrator:
- 不受信任的搜索路径(CVE-2025-27167)
- 基于堆栈的缓冲区溢出(CVE-2025-27168)
- 越界写入(CVE-2025-27169)
- 越界读取(CVE-2025-24448、CVE-2025-24449)
- 空指针解引用(CVE-2025-27170)
Substance 3D Painter:
- 越界写入(CVE-2025-24450、CVE-2025-24451)
Adobe InDesign:
- 越界写入(CVE-2025-24452、CVE-2025-27166、CVE-2025-27175、CVE-2025-27178)
- 基于堆的缓冲区溢出(CVE-2025-24453、CVE-2025-27171、CVE-2025-27177)
- 空指针解引用(CVE-2025-27176、CVE-2025-27179)
Substance 3D Modeler:
- 基于堆的缓冲区溢出(CVE-2025-27173)
- 空指针解引用(CVE-2025-21170)
Substance 3D Designer:
- 基于堆的缓冲区溢出(CVE-2025-21169)
- 越界写入(CVE-2025-27172)
成功利用这些漏洞中最严重者,可能允许在登录用户上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。在系统上配置为具有较少用户权限的账户用户可能比使用管理员用户权限操作的用户受到的影响更小。
建议措施
我们建议采取以下行动:
软件更新与漏洞管理
- 在经过适当测试后立即将Adobe提供的稳定通道更新应用于易受攻击的系统(M1051:更新软件)
- 保障措施7.1:建立和维护漏洞管理流程
- 保障措施7.2:建立和维护修复流程
- 保障措施7.6:对外部暴露的企业资产执行自动化漏洞扫描
- 保障措施7.7:修复检测到的漏洞
权限管理
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件(M1026:特权账户管理)
- 保障措施4.7:管理企业资产和软件上的默认账户
- 保障措施5.4:将管理员权限限制为专用管理员账户
内容限制与防护
- 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等(M1021:限制基于Web的内容)
- 保障措施2.3:处理未经授权的软件
- 保障措施2.7:允许列表授权脚本
- 保障措施9.3:维护和执行基于网络的URL过滤器
- 保障措施9.6:阻止不必要的文件类型
漏洞利用防护
- 使用功能检测和阻止可能导致或表明软件漏洞利用发生的条件(M1050:漏洞利用保护)
- 保障措施10.5:启用反漏洞利用功能
- 通过应用程序控制和/或脚本阻止来阻止在系统上执行代码(M1038:执行预防)
- 保障措施2.5:允许列表授权软件
- 保障措施2.6:允许列表授权库
端点行为防护
- 使用功能防止在端点系统上发生可疑行为模式(M1040:端点行为预防)
- 保障措施13.2:部署基于主机的入侵检测解决方案
- 保障措施13.7:部署基于主机的入侵防御解决方案
渗透测试要求
- 保障措施16.13:进行应用程序渗透测试
- 保障措施18.1:建立和维护渗透测试程序
- 保障措施18.2:执行定期外部渗透测试
- 保障措施18.3:修复渗透测试发现的问题
参考资料
Adobe安全公告
- https://helpx.adobe.com/security/Home.html
- https://helpx.adobe.com/security/products/acrobat/apsb25-14.html
- https://helpx.adobe.com/security/products/substance3d-sampler/apsb25-16.html
- https://helpx.adobe.com/security/products/illustrator/apsb25-17.html
- https://helpx.adobe.com/security/products/substance3d_painter/apsb25-18.html
- https://helpx.adobe.com/security/products/indesign/apsb25-19.html
- https://helpx.adobe.com/security/products/substance3d-modeler/apsb25-21.html
- https://helpx.adobe.com/security/products/substance3d_designer/apsb25-22.html
CVE详细信息
包含所有相关CVE编号的完整列表,涵盖从CVE-2025-21169到CVE-2025-27179的所有漏洞标识符。