امنیت

May 30, 2024
11:37 پنجشنبه، 10ام خردادماه 1403
کد خبر: 167152

کشف دو آسیب‌پذیری با شدت بالا در ادوب اکروبات ریدر

منبع: ماهر

Adobe Acrobat Reader یک نرم‌افزار رایگان و متن‌باز برای مشاهده و مدیریت فایل‌های PDF است. این پلتفرم می‌تواند برای خواندن، ویرایش و مدیریت اسناد PDF استفاده شود.
اخیراً دو آسیب‌پذیری با شدت بالا در Adobe Acrobat Reader کشف شده‌اند. جزئیات هر یک به شرح زیر است:

آسیب‌پذیری با شناسه CVE-2024-30279 که با امتیاز CVSS 7.8 شناسایی شده‌ است، یک آسیب‌پذیری مربوط به نوشتن خارج از محدوده در بخش پردازش فایل JPEG2000 است. این آسیب‌پذیری در اثر استفاده نادرست از تابع پردازش فایل JPEG2000 ایجاد می‌شود. ماژول پردازش تصویر مورد استفاده در برابر داده‌های مخرب ایمن نیست و مهاجم می‌تواند از این ویژگی برای اجرای کد دلخواه، دسترسی به فایل‌های محلی و ایجاد اتصالات شبکه استفاده کند. بهره برداری از این آسیب‌پذیری مستلزم این است که کاربر یک فایل مخرب را باز کند.
آسیب‌پذیری با شناسه CVE-2024-30280 که با امتیاز CVSS 7.8 نیز شناسایی شده ‌است، یک آسیب‌پذیری دیگر در Adobe Acrobat Reader است. یک آسیب‌پذیری خواندن خارج از محدوده هنگام تجزیه یک فایل مخرب است که می‌تواند منجر به خواندن از انتهای ساختار حافظه اختصاص‌یافته شود. آسیب‌پذیری “خواندن بیش از پایان یک ساختار حافظه تخصیص‌یافته” (Read Past the End of an Allocated Memory Structure) نوعی از خطاهای حافظه است که وقتی یک برنامه سعی می‌کند به بخش‌هایی از حافظه دسترسی پیدا کند که خارج از محدوده‌ی تخصیص داده شده برای یک ساختار خاص است، رخ می‌دهد. این آسیب‌پذیری معمولاً به دلیل عدم بررسی مناسب اندازه‌ی حافظه یا کنترل ضعیف مرزهای آرایه‌ها به وجود می‌آید و ممکن است منجر به افشای اطلاعات، خرابی برنامه یا اجرای کد مخرب شود. در مورد فعلی نیز، یک مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد در سیستم کاربر قربانی استفاده کند. بهره‌برداری از این نقص مستلزم این است که قربانی یک فایل مخرب را باز کند.

هر دو آسیب‌پذیری در نسخه‌های ماقبل 20.005.30574 و 24.002.20736 در Adobe Acrobat Reader وجود دارند.

جهت رفع هردو آسیب‌‌پذیری مذکور در مورد اقدام سریع نسبت به به‌روزرسانی نرم‌افزار Adobe Acrobat Reader به آخرین نسخه توصیه می گردد.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.