Pembaca Adobe Acrobat. Kekacauan
ID kerentanan memori berisiko tinggi di luar batas 121244 berlabel CVE-2018-5070 ditemui dalam perisian Adobe Acrobat Reader. Kerentanan dilihat mempengaruhi tiga versi perisian berikut: 2015.006.30418 dan lebih tua, 2017.011.30080 dan lebih tua, dan 2018.011.20040 dan lebih tua. Potensi eksploitasi dibagikan dengan pasukan keselamatan Adobe pada 10 Julai 2018, dan sejak itu, baru-baru ini Adobe mengeluarkan buletin pendedahan yang menunjukkan mitigasi dengan kemas kini tambalan untuk menyelesaikan ancaman yang ditimbulkan oleh kerentanan ini.
Kerentanan akses memori luar batas ini dinilai kritikal dalam tahap keparahan, dinilai sebagai skor asas 6 berbanding standard CVSS. Ia didapati mempengaruhi perisian pada semua versi sistem operasi Windows, Linux, dan MacOS selagi versi Adobe Acrobat Reader adalah salah satu daripada tiga generasi yang disenaraikan di atas. Prinsip eksploitasi adalah sama dengan kes yang serupa dalam kerentanan Adobe Flash Player out of bound yang juga ditemui baru-baru ini. Kerentanan terdedah ketika fail berbahaya dibuka dalam konteks perisian Adobe Acrobat. Fail kemudian dapat merosakkan memori perisian atau menjalankan perintah jahat dari jarak jauh yang boleh menjejaskan privasi dan keselamatan pengguna melalui kod jahat yang dibawanya.
Peretas yang mengeksploitasi kerentanan ini dapat melaksanakan perintah yang tidak dibenarkan atau mengubah memori seperti dengan overflow buffer standard. Dengan hanya mengubah penunjuk, penggodam dapat mengalihkan fungsi untuk menjalankan kod jahat yang dimaksudkan. Kod tersebut dapat melakukan tindakan mulai dari mencuri informasi pribadi, konten, atau menjalankan perintah sewenang-wenang lainnya dalam konteks hak pengguna untuk menimpa data keselamatan untuk aplikasi dan membahayakan perisian. Pengesahan tidak diperlukan bagi penggodam untuk melaksanakannya. Walaupun penggodam mengeksploitasi kerentanan ini, ia akan mencetuskan kesalahan menulis memori di luar batasan sambil menjalankan kod jahat di bawah kebenaran pengguna sebagaimana yang dimaksudkan. Kesan negatif dari eksploitasi jenis ini adalah dalam skop integriti, kerahsiaan, dan ketersediaan.
Perincian teknikal lebih lanjut mengenai perkara itu tidak diungkapkan melainkan pengurangan panduan telah diterbitkan di buletin keselamatan syarikat yang mencadangkan agar pengguna mengemas kini ke versi 2015.006.30434, 2017.011.30096 atau 2018.011.20055.
