发布日期：2005-06-17
更新日期：2005-06-17

受影响系统：

Adobe Acrobat Reader 7.0.1
Adobe Acrobat Reader 7.0

不受影响系统：

Adobe Acrobat Reader 7.0.2

描述：

---

BUGTRAQ  ID: 13962
CVE(CAN) ID: CVE-2005-1306

Adobe Reader（之前被称为Acrobat Reader）是非常流行的PDF文本阅读器。

Adobe Reader在处理XML外部实体（XXE）时存在漏洞，攻击者可能利用此漏洞非授权读取某些文件。

攻击者可以在PDF文件中引入JavaScript，然后让这个JavaScript解析引用了外部实体的嵌入XML文档，导致读取本地电脑中某些类型的文本文件。

<*来源：Jeremiah Grossman
        Sverre H. Huseby （shh@thathost.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=111893928911355&w=2
        http://shh.thathost.com/secadv/adobexxe/
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在Adobe Reader中禁用JavaScript。

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载7.0.2版本：

http://www.adobe.com/support/downloads/

浏览次数：3256
严重程度：1（网友投票）