Adobe Acrobat Reader. Defkey
ID ranljivosti zaradi velikega tveganja za poškodbe spomina 121244 označena CVE-2018-5070 je bila odkrita v Adobeovi programski opremi Acrobat Reader. Opaznost vpliva na naslednje tri različice programske opreme: 2015.006.30418 in starejše, 2017.011.30080 in starejše ter 2018.011.20040 in starejše. Potencial za izkoriščanje so 10. julija 2018 delili z varnostno skupino Adobe in od takrat je Adobe šele pred kratkim objavil bilten o razkritju, ki predlaga ublažitev s posodobitvijo popravka za razrešitev grožnje, ki jo predstavlja ta ranljivost.
Ta ranljivost dostopa do zunanjega pomnilnika je po resnosti ocenjena kot kritična, ocenjena kot 6 osnovnih točk glede na standard CVSS. Ugotovljeno je, da vpliva na programsko opremo v vseh različicah operacijskih sistemov Windows, Linux in MacOS, če je različica Adobe Acrobat Reader ena od treh zgoraj naštetih generacij. Načelo izkoriščanja je enako kot v podobnem primeru v Adobe Flash Player ranljivosti, ki je bila prav tako odkrita pred kratkim. Ranljivost je izpostavljena, ko se zlonamerna datoteka odpre v okviru programske opreme Adobe Acrobat. Datoteka lahko nato poškoduje pomnilnik programske opreme ali na daljavo izvaja zlonamerne ukaze, ki bi lahko zlonamerno kodo, ki jo nosi, ogrozili uporabnikovo zasebnost in varnost.
Hekerji, ki izkoriščajo to ranljivost, lahko izvajajo nepooblaščene ukaze ali spreminjajo pomnilnik kot pri običajnem prelivanju medpomnilnika. S preprostim spreminjanjem kazalca lahko heker preusmeri funkcijo za zagon predvidene zlonamerne kode. Koda lahko izvaja ukrepe od kraje osebnih podatkov, vsebine ali izvajanja drugih samovoljnih ukazov v okviru uporabnikovih pravic do prepisovanja varnostnih podatkov za aplikacijo in ogrožanja programske opreme. Za izvajanje hekerja ni potrebna overitev. Medtem ko heker izkorišča to ranljivost, bo sprožil napako pri zapisovanju zunaj okvira pomnilnika, medtem ko bo zlonamerno kodo po uporabnikovem pooblastilu izvajal po predvidevanju. Negativni vpliv te vrste izkoriščanja je znotraj Obseg integritete, zaupnosti in razpoložljivosti.
Nadaljnje tehnične podrobnosti v zvezi s tem niso bile razkrite, ampak ublažitev vodnik je bil objavljen v varnostnem biltenu podjetja, v katerem je bilo predlagano, da se uporabniki posodobijo na različice 2015.006.30434, 2017.011.30096 ali 2018.011.20055.
