发布日期：2002-07-19
更新日期：2002-07-26

受影响系统：

Adobe eBook Reader for Windows
    - Microsoft Windows ME
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1

描述：

---

BUGTRAQ  ID: 5273
CVE(CAN) ID: CVE-2002-1016

Adobe eBook Reader是一款可以阅读Adobe eBooks的客户端应用程序，可使用在Microsoft Windows和Macintosh OS 9操作系统下。Adobe Content Server是一款安全的在线销售电子书籍的产品，可提供对电子书籍内容进行保护，用户可以阅读书籍，但阅读的内容限制由发布者规定。

Adobe eBook Reader存在设计漏洞，本地攻击者可以利用这个漏洞提升部分权限，突破发布者对文件内容的一些规定。

假如发布者提供用户可以打印和拷贝文件内容，但限制用户只能10天内打印10页，或者10天内只有拷贝文件中10页，攻击者可以通过先备份Adobe Acrobat eBook Reader文件夹中的如下内容：

     Data\Vouchers\*.*
     Data\GB.dbd
     Data\Category.etb
     Data\Library*.etb
     Data\Library*.vld

在Adobe Acrobat eBook Reader执行完拷贝和打印之后，然后在恢复这些备份文件，拷贝或打印的限制就恢复到原来没有执行拷贝和打印完的状态，本地攻击者可以利用这个漏洞突破发布者限制。

<*来源：Vladimir Katalov （vkatalov_at_elcomsoft.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0228.html
*>

建议：

---

厂商补丁：

Adobe
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.adobe.com/products/ebookreader/

浏览次数：3012
严重程度：0（网友投票）