Компания Adobe исправила в общей сложности 36 опасных уязвимостей в Acrobat и Reader и в наборе средств для разработки Adobe Digital Negative (DNG) Software Development Kit (SDK), в том числе 16 критических. Эксплуатация критических уязвимостей позволяла злоумышленнику удаленно выполнить код.
В ПО Acrobat и Reader было устранено 12 критических уязвимостей, использование которых позволяло злоумышленнику выполнить произвольный код. Одной из проблем является уязвимость переполнения буфера в куче. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных до их копирования в буфер на основе кучи.
Другая RCE-уязвимость связана с записью за границами буфера и проявляется в процессе парсинга JPEG-файлов. Атакующий может использовать данную уязвимость для выполнения кода в контексте текущего процесса.
Также в ПО содержится уязвимость, связанная с определенным кодом JavaScript, встроенным в PDF-файл, который может привести к повреждению кучи при открытии PDF-документа в версии Adobe Acrobat Reader DC 2020.006.20034.
Adobe также выпустила исправления для уязвимостей в версиях DNG SDK 1.5 и старше, включая уязвимости переполнения кучи, эксплуатация которых позволяла выполнить произвольный код.
Также были исправлены восемь проблем чтения за границами буфера, эксплуатация которых позволяет раскрыть информацию.
