漏洞信息详情

Adobe Acrobat和Reader多个安全漏洞

• CNNVD编号：CNNVD-200805-062
• 危害等级： 超危
  
• CVE编号： CVE-2008-2042
• 漏洞类型： 输入验证
• 发布时间： 2008-02-06
• 威胁类型： 远程
• 更新时间： 2009-01-29
• 厂        商： adobe
• 漏洞来源： Greg MacManuscocor...

漏洞简介

Adobe Acrobat和Reader都是流行的PDF文件阅读器。

Adobe Reader/Acrobat中的多个安全漏洞可能允许攻击者导致拒绝服务或完全入侵用户系统。

1) 一些Javascript方式中的多个栈溢出漏洞允许用户通过特制的.PDF文件导致执行任意指令。目前这个漏洞正在被积极的利用。

2) EScript.api中不安全的Javascript方式允许通过特制的.PDF文件导致执行任意指令。

3) 加载Security Provider库时存在漏洞，如果用户受骗在包含有与Security Provider库同名的恶意库的目录中打开了PDF文件的话，就会导致执行任意指令。

4) DOC.print()中不安全的Javascript方式允许在用户不知情的情况下打印特制的PDF文件。

5) printSepsWithParams() Javascript方式中的整数溢出可能会导致内存破坏。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=3849&fileID=3603

http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=3856&fileID=3602

http://www.adobe.com/products/acrobat/readstep2_servefile.HTML

https://www.redhat.com/support/errata/RHSA-2008-0144.HTML

参考网址

来源: XF

名称: adobe-appcheckforupdate-code-execution(42237)

链接:http://xforce.iss.net/xforce/xfdb/42237

来源: BUGTRAQ

名称: 20080507 Adobe Acrobat Professional Javascript For PDF Security Feature Bypass and Memory Corruption Vulnerabilities

链接:http://www.securityfocus.com/archive/1/archive/1/491735/100/0/threaded

来源: VUPEN

名称: ADV-2008-1966

链接:http://www.frsirt.com/english/advisories/2008/1966/references

来源: www.adobe.com

链接:http://www.adobe.com/support/security/bulletins/apsb08-13.HTML

来源: SUNALERT

名称: 239286

链接:http://sunsolve.sun.com/search/document.do?assetkey=1-26-239286-1

来源: SECTRACK

名称: 1019971

链接:http://securitytracker.com/id?1019971

来源: SREASON

名称: 3861

链接:http://securityreason.com/securityalert/3861

来源: SECUNIA

名称: 30840

链接:http://secunia.com/advisories/30840

受影响实体

• Adobe Acrobat:6.0.3  
• Adobe Acrobat:6.0.4  
• Adobe Acrobat:6.0.5  
• Adobe Acrobat:6.0.6  
• Adobe Acrobat:7.0  

补丁

暂无