Acrobat and Reader

Die Schwachstelle steckt in der Verarbeitung von Universal-3D-Daten (U3D) durch Adobe Acrobat und Reader, also der Funktion, mit der in PDF-Dokumente eingebettete dreidimensionale Inhalte dargestellt werden. Der Fehler ist ein Fehler bei der Array-Begrenzung innerhalb der Komponente, die die fortlaufende Netz-Deklaration eines 3D-Modells (CLODProgressiveMeshDeclaration) auswertet. Ein Angreifer präpariert dazu ein PDF-Dokument mit fehlerhaft aufgebauten U3D-Daten. Öffnet das Opfer diese Datei in Acrobat oder Reader, überschreitet die Anwendung beim Einlesen die zulässigen Speichergrenzen, wodurch der Angreifer aus der Ferne beliebigen Code ausführen kann. Der Angriff erfordert keine Anmeldung, sondern lediglich, dass der Nutzer das manipulierte Dokument öffnet – ein klassischer Weg, der sich etwa per E-Mail-Anhang oder über präparierte Webseiten verbreiten lässt. Betroffen sind die PDF-Programme von Adobe auf Windows und Mac OS X.