Adobe Reader és Acrobat többszörös sérülékenységek

CH azonosító

CH-5054

Angol cím

Adobe Reader / Acrobat Multiple Vulnerabilities

Felfedezés dátuma

2011.06.14.

Súlyosság

Magas

Érintett rendszerek

Acrobat
Acrobat 3D
Acrobat Professional
Adobe
Reader

Érintett verziók

Adobe Acrobat 3D 8.x
Adobe Acrobat 8 Professional
Adobe Acrobat 8.x, 9.x, 10.x
Adobe Reader 8.x, 9.x, 10.x

Összefoglaló

Az Adobe Reader és Acrobat számos sérülékenységét jelentették, amelyet kihasználva a támadók cross-site scripting (CSS/XSS) támadást indíthatnak, bizalmas információkat szerezhetnek meg, megkerülhetnek bizonyos biztonsági szabályokat, valamint feltörhetik a felhasználó sérülékeny rendszerét.

Leírás

  1. A 3difr.x3d komponens egy hibáját kihasználva, verem alapú túlcsordulást lehet előidézni egy túlságosan hosszú string segítségével bizonyos fájlok feldolgozása közben.
  2. A tesselate.x3d komponens egy hibáját kihasználva, verem alapú túlcsordulást lehet előidézni egy túlságosan hosszú string segítségével bizonyos fájlok feldolgozása közben.
  3. Egy nem részletezett hibát kihasználva halom alapú túlcsordulást lehet előidézni.
  4. Az ACE.dll egy egész szám túlcsordulási hibáját kihasználva, ami a “desc” ICC rész feldolgozása közben lép fel, módosítható a memória tartalma speciálisan elkészített PDF fájlok segítségével.
  5. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
  6. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
  7. Az alkalmazás nem biztonságos módon tölt be bizonyos program könyvtárakat. Ezt kihasználva tetszőleges könyvtárakat lehet beolvastatni, ha a felhasználó megnyit egy távoli WebDAV vagy SMB megosztáson keresztül elérhető állományt.
  8. Bizonyos bemeneti adatok nem megfelelően vannak megtisztítva. Ezt kihasználva tetszőleges script kódot lehet lefuttatni.
  9. Egy nem részletezett hibát kihasználva meg lehet kerülni a biztonsági szabályokat.
    Ez a sérülékenység csak az Adobe Reader és Acrobat X 10.x verziókat érinti.
  10. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
    Ez a sérülékenység csak a 8.x verziót érinti.
  11. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
  12. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
  13. Egy nem részletezett hibát kihasználva módosítható a memória tartalma.
  14. Az alkalmazás sérülékeny Adobe Flash Player verziót tartalmazza.

A sérülékenységeket az alábbi verziókban jelentették:

  • Adobe Reader X (10.0.1) és korábbi verziók Windows-on.
  • Adobe Reader X (10.0.3) és korábbi verziók Macintosh-on.
  • Adobe Reader 9.4.4 és korábbi verziók Windows és Macintosh-on.
  • Adobe Reader 8.2.6 és korábbi verziók Windows és Macintosh-on.
  • Adobe Acrobat X (10.0.3) és korábbi verziók Windows és Macintosh-on.
  • Adobe Acrobat 9.4.4 és korábbi verziók Windows és Macintosh-on.
  • Adobe Acrobat 8.2.6 és korábbi verziók Windows és Macintosh-on.

Megoldás

Telepítse a javítócsomagokat