Adobe Acrobat Reader中存在远程代码注入漏洞

思科 Talos 研究员近期披露了在 Adobe Acrobat Reader DC 中的远程代码执行漏洞。攻击者可以将恶意 JavaScript 代码隐藏在 PDF 文件中。这些代码可以启用文档 ID 来执行未经授权的操作,以在用户打开 PDF 文档时触发堆栈缓冲区溢出问题。

按照 Talos 的说法,漏洞(CVE-2018-4901)在12月7日被披露,Adobe 对此漏洞在2月13日发布了安全更新。研究员随后公开了漏洞细节,漏洞影响的版本为 Adobe Acrobat Reader 的 2018.009.20050 以及 2017.011.30070 更早版本。

漏洞详情

嵌入在 PDF 文件中的 Javascript 脚本可能导致文档 ID 字段被无限地复制,这样会导致用户在 Adobe Acrobat Reader 中打开特定文档时触发一个导致堆栈缓冲区溢出问题。 ——Talos

Adobe Acrobat Reader 是最为流行且功能丰富的 PDF 阅读器。它拥有庞大的用户群,也通常是系统中的默认的PDF阅读器,常作为插件集成在网页浏览器中。 因此,该漏洞在被攻击者利用时也可通过诱导用户访问恶意网页或发送电子邮件附件而触发。

Adobe将该漏洞评为重要,这意味着该漏洞呈现出一定的风险,但目前没有发现已知的在野漏洞利用案例。

更具体的漏洞信息仍可查看 Talos

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-03-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏魏艾斯博客www.vpsss.net

魏艾斯博客重装 CentOS 系统和添加 Let’s Encrypt 免费 SSL 证书过程全记录

30630
来自专栏张戈的专栏

WP-PostViews Plus统计插件在TwentyTen主题下的使用

为了博客的文章浏览统计,让我这个不怎么熟悉 PHP 的菜鸟硬是从昨晚折腾到现在! 主要原因是我不太熟悉 PHP 的结构,结果被网上的教程搞得云里雾里,通过度娘搜...

337100
来自专栏施炯的IoT开发专栏

Wintel物联网平台-Windows IoT新手入门指南

1. 引言 近期,微软跟进物联网的速度也在不断加速,除了微软手环,。NET MicroFramework,还有一个叫做Windows IoT的项目。该项目早在今...

21450
来自专栏Timhbw博客

Genymotion安卓模拟器

2016-03-1613:54:08 发表评论 1,513℃热度 安卓开发的同学们用过安卓模拟器(当然我只是因为上课需要研究了下),Eclipse里面自带模拟...

394100
来自专栏移动开发之家

IJKPlayer编译so支持HTTPS的踩坑历程

同志,github来过没?右转不屑 ----> https://github.com/CarGuo

24130
来自专栏lestat's blog

树莓派玩耍记

这篇文章是自己入手树莓派之后的一些使用记录 前些天看 v2ex 上有人讨论树莓派,于是出于好奇在淘宝上淘了一只树莓派来玩玩 体积超级小… ? 一个板子,...

40050
来自专栏大宽宽的碎碎念

实现一个靠谱的Web认证两种认证JWT怎么存储认证信息防止CSRF总是使用https认证信息不应该永久有效总结一下

536100
来自专栏程序你好

微软放大招?Windows 10 将加入原生虚拟机支持

据外媒报道,微软已经启动内部代号为 “19H1” (也称 Redstone 6)的下一个重大 Windows 10 更新的研发工作。Windows 10 19H...

8720
来自专栏FreeBuf

联想Z470黑化之路:硬件升级还能刷苹果Mac系统!

11年入手了一台联想Z470,到现在也有些年头了,当年是看中了它的外观,现在想来性能是它的短板。然而为了工作需要,我便又购置了一台高性能电脑。现如今便想着怎么处...

43750
来自专栏菩提树下的杨过

mac OS X Yosemite 上编译hadoop 2.6.0/2.7.0及TEZ 0.5.2/0.7.0 注意事项

1、jdk 1.7问题 hadoop 2.7.0必须要求jdk 1.7.0,而oracle官网已经声明,jdk 1.7 以后不准备再提供更新了,所以趁现在还能下...

21480

扫码关注云+社区

领取腾讯云代金券