信息來源：FreeBuf

思科 Talos 研究員近期披露了在 Adobe Acrobat Reader DC 中的遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以將惡意 JavaScript 代碼隱藏在 PDF 文件中。這些代碼可以啟用文檔 ID 來執(zhí)行未經(jīng)授權(quán)的操作，以在用戶打開 PDF 文檔時觸發(fā)堆棧緩沖區(qū)溢出問題。

按照 Talos 的說法，漏洞（CVE-2018-4901）在12月7日被披露，Adobe 對此漏洞在2月13日發(fā)布了安全更新。研究員隨后公開了漏洞細(xì)節(jié)，漏洞影響的版本為 Adobe Acrobat Reader 的 2018.009.20050 以及 2017.011.30070 更早版本。

漏洞詳情

嵌入在 PDF 文件中的 Javascript 腳本可能導(dǎo)致文檔 ID 字段被無限地復(fù)制，這樣會導(dǎo)致用戶在 Adobe Acrobat Reader 中打開特定文檔時觸發(fā)一個導(dǎo)致堆棧緩沖區(qū)溢出問題。

——Talos

Adobe Acrobat Reader 是最為流行且功能豐富的 PDF 閱讀器。它擁有龐大的用戶群，也通常是系統(tǒng)中的默認(rèn)的PDF閱讀器，常作為插件集成在網(wǎng)頁瀏覽器中。 因此，該漏洞在被攻擊者利用時也可通過誘導(dǎo)用戶訪問惡意網(wǎng)頁或發(fā)送電子郵件附件而觸發(fā)。

Adobe將該漏洞評為重要，這意味著該漏洞呈現(xiàn)出一定的風(fēng)險，但目前沒有發(fā)現(xiàn)已知的在野漏洞利用案例。

更具體的漏洞信息仍可查看 Talos