Уязвимость "использования после освобождения" в Acrobat Reader DC, приводящая к утечке конфиденциальных данных и обходу ASLR
Описание
Уязвимость типа "использование после освобождения" (use-after-free) в некоторых версиях Acrobat Reader DC позволяет злоумышленнику раскрыть конфиденциальную информацию из памяти. Злоумышленник способен воспользоваться этой уязвимостью для обхода способов защиты, таких как ASLR. Для эксплуатации уязвимости необходимо, чтобы жертва открыла специально созданный вредоносный файл.
Затронутые версии ПО
- Acrobat Reader DC версии 22.001.2011x и более ранние
- Acrobat Reader DC версии 20.005.3033x и более ранние
- Acrobat Reader DC версии 17.012.3022x и более ранние
Тип уязвимости
- Уязвимость типа "использование после освобождения" (use-after-free)
- Обход средств защиты
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одно из
Одновременно
Одно из
Одно из
Одновременно
Одно из
Одновременно
Одно из
EPSS
5.5 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
Связанные уязвимости
Acrobat Reader DC version 22.001.2011x (and earlier), 20.005.3033x (and earlier) and 17.012.3022x (and earlier) are affected by a use-after-free vulnerability that could lead to disclosure of sensitive memory. An attacker could leverage this vulnerability to bypass mitigations such as ASLR. Exploitation of this issue requires user interaction in that a victim must open a malicious file.
EPSS
5.5 Medium
CVSS3
4.3 Medium
CVSS2