CVE編號 | 尚無CVE編號 |
---|---|
影響產品 | •Adobe Reader XI 11.0.10 之前版本 •Adobe Reader X 10.1.13 之前版本 •Adobe Acrobat XI 11.0.10 之前版本 •Adobe Acrobat X 10.1.13 之前版本 |
解決辦法 | 手動下載安裝: •Adobe Reader / Acrobat XI 11.0.10 (含)之後版本(Windows / Macintosh) 下載網址:http://helpx.adobe.com/security/products/reader/apsb14-28.html •Adobe Reader / Acrobat X 10.1.13 (含)之後版本(Windows / Macintosh) 下載網址:http://helpx.adobe.com/security/products/reader/apsb14-28.html |
張貼日 | 2014-12-18 |
上稿單位 | TWCERT/CC |
轉發HiNet SOC 漏洞/資安訊息警訊
Adobe Reader / Acrobat 存在系統存取、繞過安全性限制等多個弱點,惡意人士可透過這些弱點取得機敏資訊、規避部份安全限制及損害受害者的系統。
目前已知會受到影響的版本為 Adobe Reader / Acrobat XI 11.0.10 之前版本、Adobe Reader / Acrobat X 10.1.13 之前版本,HiNet SOC 建議使用者應儘速上網更新,以降低受駭風險。
細節描述:
Adobe Reader / Acrobat 存在系統存取等多個弱點,可能允許惡意人士繞過某些安全機制來獲取重要資訊並危害用戶的系統。
(1) 存在使用釋放後記憶體錯誤(use-after-free error) 、整數溢位錯誤(integer overflow) ,可能被利用來執行任意程式碼。
(2) 存在的錯誤將造成堆積緩衝區溢位(heap-based buffer overflow) ,接下來可被利用執行任意程式碼。
(3) 存在的錯誤可能會破壞記憶體資料,接下來可被利用執行任意程式碼。
(4) 競爭條件(race condition) 錯誤得以取得其他方式限制,任意寫入存取檔案系統。
(5) 執行Javascript API 時程式產生錯誤、處理XML 外部實體時出現錯誤,這些可能被利用洩露某些訊息。
(6) 一些錯誤可被繞過同源政策(same-origin policy)。
惡意人士可透過這些弱點造成資訊洩漏、規避部份安全限制。
HiNet SOC 建議使用者應儘速上網更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。