Уязвимость выполнения произвольного кода в Acrobat Reader DC через использование после освобождения (use-after-free) в обработке событий Format
Описание
В версии Acrobat Reader DC присутствует уязвимость типа "использование после освобождения" (use-after-free), которая происходит при обработке действий событий Format. Эта уязвимость позволяет злоумышленнику выполнить произвольный код с уровнем доступа текущего пользователя. Для успешной эксплуатации уязвимости требуется взаимодействие пользователя, при котором жертва должна открыть вредоносный файл.
Затронутые версии ПО
- Acrobat Reader DC версия 21.007.20099 и ранее
- Acrobat Reader DC версия 20.004.30017 и ранее
- Acrobat Reader DC версия 17.011.30204 и ранее
Тип уязвимости
- Уязвимость типа "использование после освобождения" (use-after-free)
- Выполнение произвольного кода
Ссылки
- Vendor Advisory
- Third Party AdvisoryVDB Entry
- Vendor Advisory
- Third Party AdvisoryVDB Entry
Уязвимые конфигурации
Одновременно
Одно из
Одновременно
Одно из
Одно из
Одновременно
Одно из
EPSS
7.8 High
CVSS3
9.3 Critical
CVSS2
Дефекты
Связанные уязвимости
Acrobat Reader DC version 21.007.20099 (and earlier), 20.004.30017 (and earlier) and 17.011.30204 (and earlier) are affected by a use-after-free vulnerability in the processing of Format event actions that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.
Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2020, Adobe Acrobat Reader 2020, связанная с доступом к неинициализированному указателю, позволяющая нарушителю выполнить произвольный код
EPSS
7.8 High
CVSS3
9.3 Critical
CVSS2