安全研究
安全漏洞
Adobe eBook Reader文件保护限制可突破漏洞
发布日期:2002-07-19
更新日期:2002-07-26
受影响系统:Adobe eBook Reader for Windows
- Microsoft Windows ME
- Microsoft Windows 98
- Microsoft Windows 95
- Microsoft Windows 2000 SP3
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
描述:
BUGTRAQ ID:
5273
CVE(CAN) ID:
CVE-2002-1016
Adobe eBook Reader是一款可以阅读Adobe eBooks的客户端应用程序,可使用在Microsoft Windows和Macintosh OS 9操作系统下。Adobe Content Server是一款安全的在线销售电子书籍的产品,可提供对电子书籍内容进行保护,用户可以阅读书籍,但阅读的内容限制由发布者规定。
Adobe eBook Reader存在设计漏洞,本地攻击者可以利用这个漏洞提升部分权限,突破发布者对文件内容的一些规定。
假如发布者提供用户可以打印和拷贝文件内容,但限制用户只能10天内打印10页,或者10天内只有拷贝文件中10页,攻击者可以通过先备份Adobe Acrobat eBook Reader文件夹中的如下内容:
Data\Vouchers\*.*
Data\GB.dbd
Data\Category.etb
Data\Library*.etb
Data\Library*.vld
在Adobe Acrobat eBook Reader执行完拷贝和打印之后,然后在恢复这些备份文件,拷贝或打印的限制就恢复到原来没有执行拷贝和打印完的状态,本地攻击者可以利用这个漏洞突破发布者限制。
<*来源:Vladimir Katalov (vkatalov_at_elcomsoft.com)
链接:
http://archives.neohapsis.com/archives/bugtraq/2002-07/0228.html
*>
建议:
厂商补丁:
Adobe
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.adobe.com/products/ebookreader/浏览次数:3012
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |