CVE-2018-4901 Adobe Acrobat Reader遠程代碼執行漏洞預警

報告編號： B6-2018-030501

報告來源： 360CERT

報告作者： 360CERT

更新日期： 2018-03-05

事件描述

2018年2月23日，TALOS披露了Adobe Acrobat Reader的一個遠程代碼執行漏洞相關細節，漏洞編號CVE-2018-4901，漏洞報告者為Aleksandar Nikolic。

該漏洞是一個棧溢出漏洞，可以通過惡意文件和惡意網頁傳播。目前暫時未監測到成功利用該漏洞進行攻擊的樣本出現。

事件影響面

經過360CERT分析，成功利用該漏洞需要繞過GS保護，在TALOS的博客中並沒有披露如何繞過GS的細節，成功利用難度較大，但也不排除未來如果POC公布後會被大量利用的可能。

綜合判定CVE-2018-4901漏洞為中危漏洞，屬於一般網路安全事件。

部分技術信息

該漏洞通過指定pdf文件trailer中一個超長的ID來觸發。當它在javascript被引用時，將位元組編碼為16進位字元串的過程中由於沒有對長度進行檢查會發生棧溢出。

在C:Program Files (x86)AdobeAcrobat Reader DCReaderplug_insEScript.api的sub-2389E7C0函數中：

可以看到這裡沒有對v3進行檢查。

示例ID：

/ID <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA><a>

一行簡單的javascript代碼即可觸發漏洞：

this.docID;

處理建議

按照官網的說明，更新到不受影響的版本。

時間線

2018-02-23至2018-02-23 事件被披露

2018-03-05至2018-03-05 360CERT完成了基本分析報告

參考鏈接

1. Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerability
2. Security updates available for Adobe Acrobat and Reader | APSB18-02

推薦閱讀：