CERT-FI haavoittuvuustiedote 057/2004

13.8.2004

Haavoittuvuuksia Acrobat Reader -ohjelmistossa


Kohde:	- työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

Adobe Arcrobat Reader on PDF (Portable Document Format) -dokumenttien lukuun tarkoitettu ohjelmisto. Acrobat Reader ohjelmiston Unix-versioista on löytynyt kaksi haavoittuvuutta.

Molemmat haavoittuvuudet liittyvät uu-koodatun dokumentin tiedostonimen käsittelyyn. Ensimmäinen haavoittuvuuksista on pitkän tiedostonimen aiheuttama puskuriylivuoto. Toinen haavoittuvuuksista on puutteellinen syötteen tarkastus, mikä mahdollistaa tiedoston nimessä olevien meta-merkkien suorittamisen. Molempia haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa kohdejärjestelmässä omia komentojaan.