:

Szerző: Budai Péter

2004. március 5. 12:08

Puffertúlcsordulási hiba az Adobe Acrobat Readerben

Biztonságtechnikai elemzők csütörtökön figyelmeztetést tettek közzé, amiben az Adobe Acroba Reader egy puffertúlcsordulási hibájára mutattak rá. A biztonsági rés lehetőséget biztosít egyes Adobe Acrobat Reader verziók esetében arra, hogy a szoftvert futtató számítógép felett bárki átvehesse az irányítást.

Biztonságtechnikai elemzők csütörtökön figyelmeztetést tettek közzé, amiben az Adobe Acroba Reader egy puffertúlcsordulási hibájára mutattak rá. A biztonsági rés lehetőséget biztosít egyes Adobe Acrobat Reader verziók esetében arra, hogy a szoftvert futtató számítógép felett bárki átvehesse az irányítást.

A brit, IT biztonsággal foglalkozó NGSSoftware fedezte fel a sebezhetőséget az XML Forms adattípusában (.xfdf). Egy megfelelően felépített XFDF dokumentummal bárki előidézheti a kérdéses puffertúlcsordulást, és tetszőleges programkódot futtathat le a futó Acrobat Reader jogosultságaival.

A sebezhetőség csak az Adobe Acrobat Reader 5-ös verzióit érinti. Az Adobe már kijavította ezt a hibát a 6-os verzióban -- amit már Adobe Readernek hívnak -- és minden felhasználóját arra kéri, hogy telepítse a PDF-megjelenítő legfrissebb változatát.

Az NGSSoftware szerint a sebezhetőség rendkívül súlyos, mert az XFDF fájlok automatikusan megnyitódnak Internet Explorerből, és így semmilyen lehetőség nincs elkerülni a kártékony kód lefutását.

"A fájl kirajzolásakor megtörténik a túlcsordulás. A sebezhetőség kihasználásához elég a célszemélyt olyan honlapra irányítani, ahol támadó kódot tartalmazó XFDF található, vagy ezt a fájlt akár e-mailben is el lehet küldeni neki" -- magyarázta a cég.

Az Adobe Reader 6 nem érhető el Windows 98-ra, vagy annál korábbi operációs rendszerre, ezért ezek a felhasználók minden szempontból ki vannak szolgáltatva ennek a támadásnak. A Windows 98SE, vagy újabb operációs rendszert használók ingyenesen letölthetik a legfrisebb Adobe Readert, ami jelenleg 6.0.1-es verziójú.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.