关键信息 漏洞ID: VU#275036 发布日期: 2011-10-03 最后修订日期: 2011-11-29 漏洞概述 Investintech.com's SlimPDF reader 存在多个漏洞,可能导致拒绝服务和可能的任意代码执行。 漏洞描述 漏洞涉及: 用户模式写访问违规 读访问违规在块数据移动 写地址由数据控制的故障指令 来自故障地址的数据控制分支选择,污染数据传递给函数调用 这些漏洞可被利用来利用应用程序用户权限的任意代码执行。 影响 通过诱使用户打开一个特制的.PDF文件,远程未认证的攻击者可能能够以漏洞应用程序的权限执行任意代码。 解决方案 应用更新: Investintech.com发布了以下版本解决SlimPDF Reader及相关产品的漏洞: - Slim PDF Reader v1.0.1.12: 下载链接 - Able2Doc Std 6.0.8.22: 下载链接 - Able2Doc Pro 6.0.8.22: 下载链接 - Able2Extract Std 7.0.8.22: 下载链接 - Able2Extract Pro 7.0.8.22: 下载链接 临时解决方案 使用Microsoft Enhanced Mitigation Experience Toolkit (EMET) 在Microsoft Windows中启用DEP(数据执行保护) CVSS指标 Base Score: 未提及具体分数 Temporal Score: 未提及具体分数 Environmental Score: 未提及具体分数 参考链接 SlimPDF Reader 产品选项 致谢 感谢Carlos Mario Penagos Hollmann报告此漏洞