HackerNews 编译,转载请注明出处:
安全预警:华硕RGB控制软件与Adobe PDF阅读器近日曝出重大漏洞,黑客几乎能将其变为网络攻击跳板。
即便最受信任的应用程序也可能存在安全隐患。思科旗下网络安全团队Talos新近发现,华硕Armoury Crate与Adobe Acrobat Reader这两款主流软件中存在一系列漏洞。
两个平台共发现四个漏洞(各存在两个)。这些漏洞若被利用,攻击者能劫持系统、窃取数据或提升用户权限。目前相关漏洞已完成修复。
华硕Armoury Crate主要用于控制RGB灯光、风扇转速及系统更新,通常预装在华硕及玩家国度(ROG)品牌笔记本电脑中。
在Armoury Crate 5.9.13.0版本中发现的两个高危漏洞,可能使非特权用户获得越权访问权限。其中:
- CVE-2025-1533 是该应用核心驱动的缓冲区溢出漏洞。通过发送特定系统请求,黑客可引发系统崩溃或执行恶意代码,本质上能通过灯光控制工具劫持用户电脑。CVE-2025-3464 为同一驱动程序的权限绕过漏洞。攻击者通过创建文件链接,可诱骗系统授予其本不应获得的访问权限。
广泛使用的PDF阅读软件Adobe Acrobat Reader同样存在两处严重漏洞:
- CVE-2025-43578 是Acrobat处理字体时的越界读取漏洞。攻击者通过在PDF中嵌入恶意字体,可诱使软件读取异常数据,可能导致敏感信息泄露。更危险的是CVE-2025-43576,该漏洞深藏于Acrobat注释对象处理功能中,属于释放后重用缺陷。PDF内含的JavaScript载荷可重复使用已被释放的对象,引发内存损坏,最终可能允许攻击者在受害者设备上执行任意代码。
消息来源: cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
