Уязвимость переполнения буфера в стеке в Acrobat Reader DC при обработке шрифтов, способная привести к выполнению произвольного кода
Описание
В Acrobat Reader DC имеется уязвимость переполнения буфера в стеке из-за небезопасной обработки шрифта. Эта уязвимость позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя. Для эксплуатации уязвимости необходимо взаимодействие пользователя, а именно открытие специально созданного PDF-файла.
Затронутые версии ПО
- Acrobat Reader DC версии 22.001.20085 и более ранние
- Acrobat Reader DC версии 20.005.3031x и более ранние
- Acrobat Reader DC версии 17.012.30205 и более ранние
Тип уязвимости
- Переполнение буфера в стеке
- Выполнение произвольного кода
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одно из
Одновременно
Одно из
Одно из
Одновременно
Одно из
Одновременно
Одно из
EPSS
7.8 High
CVSS3
9.3 Critical
CVSS2
Дефекты
Связанные уязвимости
Acrobat Reader DC versions 22.001.20085 (and earlier), 20.005.3031x (and earlier) and 17.012.30205 (and earlier) is affected by a stack-based buffer overflow vulnerability due to insecure processing of a font, potentially resulting in arbitrary code execution in the context of the current user. Exploitation requires user interaction in that a victim must open a crafted .pdf file
EPSS
7.8 High
CVSS3
9.3 Critical
CVSS2