CVE-2021-40730

Опубликовано: 15 окт. 2021

Источник: nvd

CVSS3: 3.3

CVSS2: 4.3

EPSS Низкий

Уязвимость раскрытия конфиденциальной информации в Adobe Acrobat Reader DC через использование после освобождения (use-after-free) при обработке изображений JPG2000

Описание

В Adobe Acrobat Reader DC обнаружена уязвимость типа "использование после освобождения" (use-after-free), которая позволяет злоумышленнику раскрыть конфиденциальную информацию на затронутых установках. Для эксплуатации этой уязвимости требуется взаимодействие пользователя, поскольку жертва должна посетить вредоносную страницу или открыть вредоносный файл. Конкретная уязвимость проявляется при обработке изображений JPG2000.

Затронутые версии ПО

Adobe Acrobat Reader DC версии 21.007.20095 и более ранние
Adobe Acrobat Reader DC версии 21.007.20096 и более ранние
Adobe Acrobat Reader DC версии 20.004.30015 и более ранние
Adobe Acrobat Reader DC версии 17.011.30202 и более ранние

Тип уязвимости

Использование после освобождения (use-after-free)
Раскрытие информации

Ссылки

https://helpx.adobe.com/security/products/acrobat/apsb21-104.html
Release Notes
Vendor Advisory
https://helpx.adobe.com/security/products/acrobat/apsb21-104.html
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.007.20095 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.007.20095 (включая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.007.20096 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.007.20096 (включая)

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.004.30015 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.004.30015 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 17.011.30158 (включая) до 17.011.30202 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 17.011.30158 (включая) до 17.011.30202 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 79%

0.01226

Низкий

3.3 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-416

Связанные уязвимости

GHSA-r3pv-qwgr-hxx8

github

больше 3 лет назад

Adobe Acrobat Reader DC version 21.007.20095 (and earlier), 21.007.20096 (and earlier), 20.004.30015 (and earlier), and 17.011.30202 (and earlier) is affected by a use-after-free that allow a remote attacker to disclose sensitive information on affected installations of of Adobe Acrobat Reader DC. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of JPG2000 images.

BDU:2021-05073

CVSS3: 3.3

fstec

больше 4 лет назад

Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2020, Adobe Acrobat Reader 2020, связанная с использованием памяти после ее освобождения, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 79%

0.01226

Низкий

3.3 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-416