Adobe Acrobat Reader. Defkey
Ang isang mataas na peligro sa labas ng mga hangganan memorya ng kahinaan sa katiwalian 121244 may label na CVE-2018-5070 ay natuklasan sa software ng Acrobat Reader ng Adobe. Ang kahinaan ay nakikita na nakakaapekto sa sumusunod na tatlong mga bersyon ng software: 2015.006.30418 at mas matanda, 2017.011.30080 at mas matanda, at 2018.011.20040 at mas luma. Ang potensyal para sa pagsasamantala ay ibinahagi sa koponan ng seguridad ng Adobe noong ika-10 ng Hulyo, 2018, at mula noon, kamakailan lamang ay lumabas ang Adobe ng isang bulletin ng pagsisiwalat na nagpapahiwatig ng pagpapagaan ng isang pag-update ng patch upang malutas ang banta na dulot ng kahinaan na ito.
Ito sa labas ng hangganan ng kahinaan sa pag-access sa memorya ay niraranggo bilang kritikal sa kalubhaan, tasahin bilang isang 6 na marka ng batayan laban sa pamantayan ng CVSS. Natagpuan na nakakaapekto sa software sa lahat ng mga bersyon ng Windows, Linux, at mga operating system ng MacOS hangga't ang bersyon ng Adobe Acrobat Reader ay isa sa tatlong henerasyon na nakalista sa itaas. Ang prinsipyo ng pagsasamantala ay kapareho ng isang katulad na kaso sa Adobe Flash Player sa labas ng kahinaan na natuklasan din kamakailan. Ang kahinaan ay nahantad kapag ang isang nakakahamak na file ay bubuksan sa loob ng konteksto ng software ng Adobe Acrobat. Ang file ay nagawang i-corrupt ang memorya ng software o magsagawa ng mga nakakahamak na utos mula sa malayo na maaaring ikompromiso ang privacy at seguridad ng gumagamit sa pamamagitan ng nakakahamak na code na dala nito.
Ang mga hacker na nagsasamantala sa kahinaan na ito ay nakapagpatupad ng hindi pinahintulutang mga utos o nagbago ng memorya tulad ng isang karaniwang buffer overflow. Sa pamamagitan lamang ng pagbabago ng isang pointer, ang hacker ay maaaring mag-redirect ng isang pagpapaandar upang patakbuhin ang inilaan na nakakahamak na code. Maaaring magsagawa ang code ng pagkilos mula sa pagnanakaw ng personal na impormasyon, nilalaman, o pagsasagawa ng iba pang mga di-makatwirang utos sa loob ng konteksto ng mga karapatan ng gumagamit sa pag-o-overtake ng data ng seguridad para sa aplikasyon at pagkompromiso sa software. Hindi kinakailangan ang pagpapatotoo para maisakatuparan ito ng hacker. Habang pinagsasamantalahan ng hacker ang kahinaan na ito, magti-trigger nito ang error sa pagsulat ng memorya na wala sa mga hangganan habang isinasagawa ang nakakahamak na code sa ilalim ng pahintulot ng gumagamit na nilalayon. Ang negatibong epekto ng ganitong uri ng pagsasamantala ay nasa loob ng saklaw ng integridad, pagiging kompidensiyal, at pagkakaroon.
Ang karagdagang mga teknikal na detalye sa bagay na ito ay hindi isiniwalat ngunit isang pagpapagaan gabay ay nai-publish sa bulletin ng seguridad ng kumpanya na nagmungkahi na mag-update ang mga gumagamit sa mga bersyon 2015.006.30434, 2017.011.30096 o 2018.011.20055.
