کشف دو آسیب‌پذیری با شدت بالا در Adobe Acrobat Reader

کشف دو آسیب‌پذیری با شدت بالا در Adobe Acrobat Reader

تاریخ ایجاد

Adobe Acrobat Reader یک نرم‌افزار رایگان و متن‌باز برای مشاهده و مدیریت فایل‌های PDF است. این پلتفرم می‌تواند برای خواندن، ویرایش و مدیریت اسناد PDF استفاده شود.
اخیراً دو آسیب‌پذیری با شدت بالا در Adobe Acrobat Reader کشف شده‌اند. جزئیات هر یک به شرح زیر است:

  •  آسیب‌پذیری با شناسه CVE-2024-30279 که با امتیاز CVSS 7.8 شناسایی شده‌ است، یک آسیب‌پذیری مربوط به نوشتن خارج از محدوده در بخش پردازش فایل JPEG2000 است. این آسیب‌پذیری در اثر استفاده نادرست از تابع پردازش فایل JPEG2000 ایجاد می‌شود. ماژول پردازش تصویر مورد استفاده در برابر داده‌های مخرب ایمن نیست و مهاجم می‌تواند از این ویژگی برای اجرای کد دلخواه، دسترسی به فایل‌های محلی و ایجاد اتصالات شبکه استفاده کند. بهره برداری از این آسیب‌پذیری مستلزم این است که کاربر یک فایل مخرب را باز کند.
  •  آسیب‌پذیری با شناسه CVE-2024-30280 که با امتیاز CVSS 7.8 نیز شناسایی شده ‌است، یک آسیب‌پذیری دیگر در Adobe Acrobat Reader است. یک آسیب‌پذیری خواندن خارج از محدوده هنگام تجزیه یک فایل مخرب است که می‌تواند منجر به خواندن از انتهای ساختار حافظه اختصاص‌یافته شود. آسیب‌پذیری "خواندن بیش از پایان یک ساختار حافظه تخصیص‌یافته" (Read Past the End of an Allocated Memory Structure) نوعی از خطاهای حافظه است که وقتی یک برنامه سعی می‌کند به بخش‌هایی از حافظه دسترسی پیدا کند که خارج از محدوده‌ی تخصیص داده شده برای یک ساختار خاص است، رخ می‌دهد. این آسیب‌پذیری معمولاً به دلیل عدم بررسی مناسب اندازه‌ی حافظه یا کنترل ضعیف مرزهای آرایه‌ها به وجود می‌آید و ممکن است منجر به افشای اطلاعات، خرابی برنامه یا اجرای کد مخرب شود. در مورد فعلی نیز، یک مهاجم می‌تواند از این آسیب‌پذیری برای اجرای کد در سیستم کاربر قربانی استفاده کند. بهره‌برداری از این نقص مستلزم این است که قربانی یک فایل مخرب را باز کند.


محصولات آسیب‌پذیر
هر دو آسیب‌پذیری در نسخه‌های ماقبل 20.005.30574 و 24.002.20736 در Adobe Acrobat Reader وجود دارند.

توصیه‌های امنیتی
جهت رفع هردو آسیب‌‌پذیری مذکور در مورد اقدام سریع نسبت به به‌روزرسانی نرم‌افزار Adobe Acrobat Reader به آخرین نسخه توصیه می گردد.

منابع خبر:


[1] https://nvd.nist.gov/vuln/detail/CVE-2024-30279
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-30280
[3] https://helpx.adobe.com/security/products/acrobat/apsb24-29.html