Уязвимость утечки информации в Acrobat Reader через некорректную обработку ActiveX Control
Описание
Существует уязвимость утечки информации в Acrobat Reader DC, связанная с некорректной обработкой ActiveX Control. Злоумышленник способен использовать данную уязвимость для получения NTLMv2 учетных данных. Для эксплуатации уязвимости требуется взаимодействие с пользователем: жертва должна открыть специально сформированный файл Microsoft Office или посетить веб-страницу, контролируемую злоумышленником.
Затронутые версии ПО
- Acrobat Reader DC ActiveX Control версии 21.007.20099 и более ранние
- Acrobat Reader DC ActiveX Control версии 20.004.30017 и более ранние
- Acrobat Reader DC ActiveX Control версии 17.011.30204 и более ранние
Тип уязвимости
Утечка информации
Ссылки
- PatchVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одновременно
Одно из
Одновременно
Одно из
Одно из
Одновременно
Одно из
Одно из
EPSS
3.1 Low
CVSS3
4.3 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Acrobat Reader DC ActiveX Control versions 21.007.20099 (and earlier), 20.004.30017 (and earlier) and 17.011.30204 (and earlier) are affected by an Information Disclosure vulnerability. An unauthenticated attacker could leverage this vulnerability to obtain NTLMv2 credentials. Exploitation of this issue requires user interaction in that a victim must open a maliciously crafted Microsoft Office file, or visit an attacker controlled web page.
Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2020, Adobe Acrobat Reader 2020, связанная с раскрытием информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
3.1 Low
CVSS3
4.3 Medium
CVSS3
4.3 Medium
CVSS2