کشف دو آسیبپذیری با شدت بالا در ادوب اکروبات ریدر
Adobe Acrobat Reader یک نرمافزار رایگان و متنباز برای مشاهده و مدیریت فایلهای PDF است. این پلتفرم میتواند برای خواندن، ویرایش و مدیریت اسناد PDF استفاده شود.
اخیراً دو آسیبپذیری با شدت بالا در Adobe Acrobat Reader کشف شدهاند. جزئیات هر یک به شرح زیر است:
آسیبپذیری با شناسه CVE-2024-30279 که با امتیاز CVSS 7.8 شناسایی شده است، یک آسیبپذیری مربوط به نوشتن خارج از محدوده در بخش پردازش فایل JPEG2000 است. این آسیبپذیری در اثر استفاده نادرست از تابع پردازش فایل JPEG2000 ایجاد میشود. ماژول پردازش تصویر مورد استفاده در برابر دادههای مخرب ایمن نیست و مهاجم میتواند از این ویژگی برای اجرای کد دلخواه، دسترسی به فایلهای محلی و ایجاد اتصالات شبکه استفاده کند. بهره برداری از این آسیبپذیری مستلزم این است که کاربر یک فایل مخرب را باز کند.
آسیبپذیری با شناسه CVE-2024-30280 که با امتیاز CVSS 7.8 نیز شناسایی شده است، یک آسیبپذیری دیگر در Adobe Acrobat Reader است. یک آسیبپذیری خواندن خارج از محدوده هنگام تجزیه یک فایل مخرب است که میتواند منجر به خواندن از انتهای ساختار حافظه اختصاصیافته شود. آسیبپذیری “خواندن بیش از پایان یک ساختار حافظه تخصیصیافته” (Read Past the End of an Allocated Memory Structure) نوعی از خطاهای حافظه است که وقتی یک برنامه سعی میکند به بخشهایی از حافظه دسترسی پیدا کند که خارج از محدودهی تخصیص داده شده برای یک ساختار خاص است، رخ میدهد. این آسیبپذیری معمولاً به دلیل عدم بررسی مناسب اندازهی حافظه یا کنترل ضعیف مرزهای آرایهها به وجود میآید و ممکن است منجر به افشای اطلاعات، خرابی برنامه یا اجرای کد مخرب شود. در مورد فعلی نیز، یک مهاجم میتواند از این آسیبپذیری برای اجرای کد در سیستم کاربر قربانی استفاده کند. بهرهبرداری از این نقص مستلزم این است که قربانی یک فایل مخرب را باز کند.
هر دو آسیبپذیری در نسخههای ماقبل 20.005.30574 و 24.002.20736 در Adobe Acrobat Reader وجود دارند.
جهت رفع هردو آسیبپذیری مذکور در مورد اقدام سریع نسبت به بهروزرسانی نرمافزار Adobe Acrobat Reader به آخرین نسخه توصیه می گردد.