Adobe 修复 Acrobat Reader DC 中的远程代码执行漏洞

作者：Lindsey O'Donnell

翻译：360代码卫士团队

思科 Talos 团队详细说明了在 Adobe Acrobat Reader DC 中发现的一个远程代码执行漏洞。当用户打开恶意文件或访问恶意网页时即可触发该漏洞。

研究人员在报告中指出，这个漏洞 (CVE-2018-4901) 披露于去年12月7日，Adobe 在2月13日修复。受影响的 Adobe Acrobat Reader 版本是 2018.009.20050 和2017.011.30070 以及更早版本。

该漏洞可导致攻击者将恶意 JavaScript 代码隐藏到一个 PDF 文件中。该漏洞能导致攻击者利用文档 ID 执行未经授权的操作，当用户打开特殊构造的 PDF 文档时就会触发一个栈缓冲溢出漏洞。

Talos 团队指出，“当特定的 JavaScript 脚本被内嵌到 PDF 文件时，就会导致文档 ID 字段被用于无限制的复制操作中，从而导致在 Adobe Acrobat Reader 中打开特殊构造的 PDF 文档时触发这个栈缓冲溢出漏洞。”

Adobe 对该漏洞的安全程度评级为“重要”，即漏洞存在“升级风险”且目前并不存在在野已知利用。

Talos 团队发布声明称，“Adobe Acrobat Reader 是最流行也是功能最丰富的 PDF 阅读器。它拥有庞大的用户基数，通常是系统的默认 PDF 阅读器并以转换 PDF 插件的形式集成到网络浏览器中。因此，诱骗用户访问恶意网页或发送特殊构造的邮件附件足以触发这个漏洞。”

该漏洞是由 Talos 团队的 Aleksandar Nikolic 发现的，已在2月份得到修复。Adobe 在2月份发布的安全公告中列出了 Acrobat 和 Reader 产品中的41个漏洞，其中包含的17个严重漏洞“能导致攻击者控制受影响系统”。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。