ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

В Adobe Reader и ядре Windows обнаружены 15 уязвимостей

Уязвимости в Adobe Reader

Каждая из брешей может использоваться для удаленного выполнения кода или повышения привилегий.

Исследовав управление шрифтами, специалист проекта Google Project Zero обнаружил 15 уязвимостей в ядре Windows и Adobe Reader, некоторые из которых являются критическими.

В ходе состоявшейся в Монреале (Канада) конференции по вопросам кибербезопасности Recon, эксперт Матеуш Юрчык (Mateusz Jurczyk) продемонстрировал способы эксплуатации 15 брешей, каждая из которых может использоваться для удаленного выполнения кода или повышения привилегий в Adobe Reader или ядре Windows. Две наиболее серьезные уязвимости (CVE-2015-3052 в 64-битной ОС и CVE-2015-0093 в 32-битной) возникают в Adobe Type Manager Font Driver, который включен в ядро Windows, начиная с версии Windows NT 4.

При помощи созданных определенным образом шрифтов можно запустить исполнение кода в Adobe Reader, а затем обойти песочницу и повысить привилегии, эксплуатируя брешь в Adobe Type Manager Font Driver в сборке Windows 8.1 Update 1. Подверженные уязвимости шрифты Adobe Type 1 и OpenType можно найти в библиотеках Windows GDI, Adobe Reader, Microsoft DirectWrite и Windows Presentation Foundation.

По словам Юрчыка, наиболее опасной является возможность эксплуатации инструкции BLEND. Эта брешь связана с неправильной обработкой CharStrings. CharStrings отвечает за формирование глифов в зависимости от размера точки.

Microsoft и Adobe уже выпустили обновления безопасности, исправляющие уязвимости.


Security Lab (25.06.2015 в 12:47) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"