Múltiplas vulnerabilidades no Adobe Acrobat e no Adobe Reader

Descrição

Várias vulnerabilidades sérias foram encontradas no Adobe Acrobat e no Adobe Reader. Usuários mal-intencionados podem explorar essas vulnerabilidades para executar códigos arbitrários e possivelmente causar uma negação de serviço.

Abaixo está uma lista completa de vulnerabilidades:

1. As vulnerabilidades de uso após a liberação no módulo XFA (XML Forms Architecture) relacionadas à funcionalidade de redefinição de formulários e ao elemento choiceList podem ser exploradas remotamente para executar código arbitrário;
2. A vulnerabilidade "usar-depois-livre" durante a manipulação de uma estrutura de dados interna pode ser explorada remotamente para executar código arbitrário;
3. A vulnerabilidade de uso após a liberação no mecanismo XML Forms Architecture (XFA) pode ser explorada remotamente para executar código arbitrário;
4. A vulnerabilidade "use-after-free" na API relacionada à anotação do mecanismo JavaScript e na API JavaScript conectada com a funcionalidade de colaboração pode ser explorada remotamente para executar código arbitrário;
5. As vulnerabilidades de estouro de buffer de heap na conversão de imagem, que estão relacionadas a correções de parsing, representação de linha de varredura interna e manipulação de blocos internos em arquivos TIFF, podem ser exploradas remotamente para executar código arbitrário;
6. A vulnerabilidade de estouro de buffer de heap relacionada à análise JPEG 2000 da tag de lista de fragmentos pode ser explorada remotamente para executar código arbitrário;
7. As vulnerabilidades de corrupção de memória na funcionalidade de análise do JBIG2, na funcionalidade do renderizador, na funcionalidade de mosaico de fluxo de código JPEG 2000 podem ser exploradas remotamente para executar código arbitrário;
8. A vulnerabilidade de corrupção de memória que ocorre durante o manuseio de um arquivo PDF malformado pode ser explorada remotamente para executar código arbitrário;
9. A vulnerabilidade de corrupção de memória no analisador de formato PRC (Product Representation Compact) pode ser explorada remotamente para executar código arbitrário;
10. A vulnerabilidade de corrupção de memória que ocorre durante a manipulação de anotações em PDF pode ser explorada remotamente para executar código arbitrário;
11. A vulnerabilidade de corrupção de memória relacionada à manipulação de representação de objetos internos pode ser explorada remotamente para executar código arbitrário;
12. As vulnerabilidades de corrupção de memória no módulo de conversão de imagem relacionadas ao processamento de arquivos TIFF, processamento do formato de arquivo PCX (picture exchange), análise de arquivos GIF, análise de arquivos JPEG, manipulação de arquivos EMF podem ser exploradas remotamente para executar código arbitrário;
13. Vulnerabilidades de corrupção de memória nos módulos: compressão de imagem AES, JBIG2 pode ser explorada remotamente para executar código arbitrário;
14. As vulnerabilidades de corrupção de memória no mecanismo JavaScript e no manipulador de segurança PPKLite podem ser exploradas remotamente para executar código arbitrário;
15. A vulnerabilidade de corrupção de memória que ocorre durante a análise de dados de fluxo de TFF (formato de fonte TrueType) pode ser explorada remotamente para executar código arbitrário;
16. A vulnerabilidade de corrupção de memória no plug-in MakeAccessible, que ocorre durante a análise de dados de fonte, pode ser explorada remotamente para executar código arbitrário;
17. A vulnerabilidade de corrupção de memória no mecanismo JPEG 2000, relacionada ao escalonamento de imagens, pode ser explorada remotamente para executar código arbitrário;
18. A vulnerabilidade de corrupção de memória no mecanismo JavaScript, relacionada à manipulação de strings, pode ser explorada remotamente para executar código arbitrário;
19. A vulnerabilidade de corrupção de memória na funcionalidade de manipulação de fontes pode ser explorada remotamente para executar código arbitrário;
20. A vulnerabilidade de estouro de inteiro no filtro de fax CCITT e no mecanismo XFA (XML Forms Achitecture) pode ser explorada remotamente para executar código arbitrário;
21. Várias vulnerabilidades no módulo de link da web, no mecanismo do analisador JPEG 2000, no mecanismo XSLT, no analisador de fluxo de código JPEG 2000 podem ser exploradas remotamente para causar vazamento de memória, o que pode levar à obtenção de informações confidenciais ou a uma negação de serviço;
22. Uma análise incorreta de um arquivo JPEG 2000, manipulação incorreta de um fluxo de código JPEG 2000 e dados de bloco de fluxo de código podem ser explorados remotamente para causar vazamento de memória, o que pode levar à obtenção de informações confidenciais ou uma negação de serviço;
23. Uma vulnerabilidade não especificada na funcionalidade de colaboração pode ser explorada remotamente para causar vazamento de memória, o que pode levar à obtenção de informações confidenciais ou a uma negação de serviço;
24. Múltiplas vulnerabilidades no analisador JPEG 2000, relacionadas à funcionalidade da caixa de paletas e à análise contígua do fluxo de código, podem ser exploradas remotamente para causar vazamento de memória, o que pode levar à obtenção de informações confidenciais ou a uma negação de serviço;
25. Múltiplas vulnerabilidades na conversão de imagem relacionadas à análise EMF (enhanced met file format) e segmento APP13 na análise de arquivos JPEG podem ser exploradas remotamente para causar vazamento de memória, o que pode levar à obtenção de informações confidenciais ou negação de serviço;
26. Vulnerabilidades de carregamento de biblioteca inseguras (seqüestro de DLL) no plug-in do OCR e em uma DLL relacionada ao log remoto podem ser exploradas remotamente para executar código arbitrário.

NB: Esta vulnerabilidade não tem classificação CVSS pública, portanto, a classificação pode ser alterada no momento.

Comunicados originais

• Adobe security bulletin

Lista de CVE

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com