Adobe Reader és Acrobat többszörös sérülékenységei


2010. április 13. 22:00

CH azonosító

CH-3047

Felfedezés dátuma

2010.04.13.

Súlyosság

Magas

Érintett rendszerek

Acrobat
Acrobat 3D
Acrobat Professional
Acrobat Reader
Adobe

Érintett verziók

Adobe Acrobat Reader 8.x, 9.x
Adobe Acrobat 8.x, 9.x
Adobe Acrobat Professional 8.x
Adobe Acrobat 3D 8.x

Összefoglaló

Az Adobe Reader és Adobe Acrobat olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók cross-site scripting támadásokat hajthatnak végre és föltörhetik a felhasználó rendszerét.

Leírás

Az Adobe Reader és Adobe Acrobat olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók cross-site scripting támadásokat hajthatnak végre és föltörhetik a felhasználó rendszerét.

  1. Egy ismeretlen hiba kihasználható cross-site scripting támadások végrehajtására.
  2. Egy ismeretlen “prefix protocol handler” hiba kihasználható kód futtatására.
  3. Az X3D (3difr.x3d) komponens hibája DeviceRGB al-típusú stream feldolgozásakor kihasználható memória-kezelési hiba előidézésére és tetszőleges kód futtatására.
  4. Egy index kalkulációs hiba beágyazott betűkészletek elemzésekor egyes tábláknál kihasználható tetszőleges kód futtatására.
  5. Egy egész túlcsordulás hiba az U3D adatok CLOD Mesh Declaration blokkjának “Shading Count” mezőjében kihasználható halom túlcsordulás előidézésére és tetszőleges kód futtatására.

    Megjegyzés: a jelentések szerinte ez a sebezhetőség csak a Linuxon futó Adobe Reader-t érinti.

  6. Egy hiba a CoolType.dll-ben CFF kódolás elemzésekor kihasználható verem alapú túlcsordulás előidézésére és tetszőleges kód futtatására.
  7. Több ismeretlen hiba kihasználható tetszőleges kód futtatására.
  8. Több ismeretlen hiba kihasználható memória-kezelési hiba előidézésére és tetszőleges kód futtatására.
  9. Több ismeretlen hiba kihasználható puffer túlcsordulás előidézésére és tetszőleges kód futtatására.

A sérülékenységek a 9.3.1. és 8.2.1. előtti verziókban találhatóak.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)
Unknown (Ismeretlen)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)
Unknown (Ismeretlen)

Hivatkozások

CVE-2010-0203 - NVD CVE-2010-0203
CVE-2010-0202 - NVD CVE-2010-0202
CVE-2010-0201 - NVD CVE-2010-0201
CVE-2010-0199 - NVD CVE-2010-0199
CVE-2010-0198 - NVD CVE-2010-0198
CVE-2010-0197 - NVD CVE-2010-0197
CVE-2010-0196 - NVD CVE-2010-0196
CVE-2010-0195 - NVD CVE-2010-0195
CVE-2010-0194 - NVD CVE-2010-0194
CVE-2010-0193 - NVD CVE-2010-0193
CVE-2010-0192 - NVD CVE-2010-0192
CVE-2010-0191 - NVD CVE-2010-0191
CVE-2010-0190 - NVD CVE-2010-0190
SECUNIA 39272
Gyártói referencia: www.adobe.com
CVE-2010-0204 - NVD CVE-2010-0204
CVE-2010-1241 - NVD CVE-2010-1241

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »