偵測

Adobe Reader < 11.0.19 / 15.006.30279 / 15.023.20053 多個弱點 (APSB17-01)

critical Nessus Plugin ID 96453

語系:

概要

遠端 Windows 主機上安裝的 Adobe Reader 版本受到多個弱點影響。

說明

遠端 Windows 主機上安裝的 Adobe Reader 版本比 11.0.19、15.006.30279 或 15.023.20053 版舊。因此,會受到多個弱點影響:- 存在多個記憶體損毀問題,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用這些弱點執行任意程式碼。(CVE-2017-2939、CVE-2017-2940、CVE-2017-2941、CVE-2017-2943、CVE-2017-2944、CVE-2017-2953、CVE-2017-2954) - 存在多個堆積緩衝區溢位情形,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用這些弱點執行任意程式碼。(CVE-2017-2942、CVE-2017-2945、CVE-2017-2959) - 處理 JPEG2000 影像時,存在一個堆積緩衝區溢位情形,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-2946) - 存在一個不明安全性繞過弱點,讓未經驗證的遠端攻擊者得以造成不明影響。(CVE-2017-2947) - 存在多個溢位情形,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用這些弱點執行任意程式碼。(CVE-2017-2948、CVE-2017-2952) - 處理 XSLT element-available() 函式時,存在一個堆積緩衝區溢位情形,會讓未經驗證的遠端攻擊者得以執行任意程式碼。(CVE-2017-2949) - 處理 XFA 子表單版面配置、斷字物件、欄位字型大小和範本物件時,存在多個釋放後使用記憶體錯誤。未經驗證的遠端攻擊者可利用這些弱點執行任意程式碼。(CVE-2017-2950、CVE-2017-2951、CVE-2017-2961、CVE-2017-2967) - 存在多個釋放後使用記憶體錯誤,讓未經驗證的遠端攻擊者得以執行任意程式碼。(CVE-2017-2955、CVE-2017-2956、CVE-2017-2957、CVE-2017-2958) - 處理 JPEG 和 TIFF 檔案時,存在多個記憶體損毀問題,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用這些弱點執行任意程式碼。(CVE-2017-2960、CVE-2017-2963、CVE-2017-2964、CVE-2017-2965) - 處理 XSLT lang() 函式時,存在一個類型混淆錯誤,會讓未經驗證的遠端攻擊者得以執行任意程式碼。(CVE-2017-2962) - 處理 TIFF 影像() 時,ImageConversion 元件中存在一個堆積緩衝區溢位情形,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可利用此弱點執行任意程式碼。(CVE-2017-2966) - JPEG2000 剖析器中存在一個緩衝區溢位情形,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可惡意利用此弱點來洩漏敏感資訊。(CVE-2017-3009) - 轉譯引擎中存在一個記憶體損毀問題,這是因為不當驗證不明輸入所致。未經驗證的遠端攻擊者可惡意利用此弱點,藉此引發拒絕服務情形或執行任意程式碼。(CVE-2017-3010) 請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級版本至 Adobe Reader 11.0.19 / 15.006.30279 / 15.023.20053 版或更新版本。

另請參閱

https://helpx.adobe.com/security/products/acrobat/apsb17-01.html

Plugin 詳細資訊

嚴重性: Critical

ID: 96453

檔案名稱: adobe_reader_apsb17-01.nasl

版本: 1.11

類型: local

代理程式: windows

系列: Windows

已發布: 2017/1/12

已更新: 2019/11/13

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Critical

分數: 9.0

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2017-3010

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/a:adobe:acrobat_reader

必要的 KB 項目: SMB/Registry/Enumerated, installed_sw/Adobe Reader

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2017/1/5

弱點發布日期: 2017/1/5

參考資訊

CVE: CVE-2017-2939, CVE-2017-2940, CVE-2017-2941, CVE-2017-2942, CVE-2017-2943, CVE-2017-2944, CVE-2017-2945, CVE-2017-2946, CVE-2017-2947, CVE-2017-2948, CVE-2017-2949, CVE-2017-2950, CVE-2017-2951, CVE-2017-2952, CVE-2017-2953, CVE-2017-2954, CVE-2017-2955, CVE-2017-2956, CVE-2017-2957, CVE-2017-2958, CVE-2017-2959, CVE-2017-2960, CVE-2017-2961, CVE-2017-2962, CVE-2017-2963, CVE-2017-2964, CVE-2017-2965, CVE-2017-2966, CVE-2017-2967, CVE-2017-3009, CVE-2017-3010

BID: 95340, 95343, 95344, 95345, 95346, 95348, 97302, 97306