PDF-XChange Editor U3D Файловый Разбор Использования-После-Прямок Уязвимости Исполнитель Исполнений Уязвимости Использования Удаленного Код…
PDF-XChange Editor U3D Файловый Разбор Использования-После-Прямок Уязвимости Исполнитель Исполнений Уязвимости Использования Удаленного Кода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках PDF-XChange Editor. Взаимодействие с пользователем необходимо для использования этой уязвимости в том смысле, что цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в разборе U3D-файлов. Проблема возникает в результате отсутствия проверки существования объекта до выполнения операций на объекте. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего процесса. Это был ZDI-CAN-26642.
Продукт повторно использует или ссылается на память после её освобождения. В какой-то момент эта память может быть выделена повторно и сохранена в другом указателе, тогда как исходный указатель на освобождённую память используется вновь. Поскольку теперь по этому адресу может храниться посторонний объект, исходное использование указателя может привести к повреждению памяти или иным непреднамеренным последствиям. Если новая структура данных содержит указатель на функцию, то при исполнении может быть вызван код, контролируемый злоумышленником.
https://cwe.mitre.org/data/definitions/416.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| pdf-tools | * | Отслеживается |
| pdf-xchange_editor | * | Отслеживается |