Au fost descoperite o serie de vulnerabilitati in Adobe Reader care pot fi exploatate de atacatori pentru a lansa atacuri XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery), DoS (Denial of Service) sau pentru a compromite un sistem afectat.
Cauza problemelor este faptul ca plugin-ul de Adobe Reader instalat in browser nu verifica sau corecteaza datele de intrare trimise ca parametri catre un fisier PDF inainte de le include in datele de raspuns returnate catre browser.
Aceasta poate fi exploatata de un atacator pentru a lansa unul din urmatoarele atacuri:
- executia de cod script arbitrar in cadrul sesiunii de browser a utilizatorului in contextul unui sit compromis.
- coruperea unei zone de memorie, ceea ce poate conduce la executia de cod arbitrar.
- efectuarea de cereri HTTP ce vor fi executate de browser catre situri arbitrare, fara a necesita confirmarea utilizatorului.
- fortarea intrarii intr-o stare instabila a browser-ului.
Vulnerabilitatile sunt raportate la versiunea 6.0.1 pentru Windows prin Internet Explorer 6 si 7.0.8 pentru Windows prin Firefox 2.0.0.1. Celelalte versiuni ar putea fi de asemenea afectate. Este recomandata actualizarea la versiunea 8.0.0 deoarece aceasta elimina vulnerabilitatile. De asemenea, nu accesati situri web care nu prezinta incredere si nu urmati link-uri provenind din surse necunoscute.
