漏洞关键信息 日期: 2016年5月10日 漏洞名称: Adobe Acrobat Reader DC CBSharedReviewIfOfflineDialog Javascript API Restrictions Bypass Vulnerability 标识符: - ZDI-16-291 - ZDI-CAN-3423 - CVE-ID: CVE-2016-1044 CVSS评分: 6.8, AV:N/AC:M/Au:N/C:P/I:P/A:P 受影响厂商: Adobe 受影响产品: Acrobat Reader DC 漏洞详情: - 该漏洞允许远程攻击者在易受攻击的Adobe Reader DC安装上执行任意代码。要利用此漏洞,需要用户交互(访问恶意页面或打开恶意文件)。 - CBSharedReviewIfOfflineDialog方法中的特定缺陷可以通过创建带有特定JavaScript指令的专门PDF文件来绕过JavaScript API限制。 额外详情: Adobe已发布修复此漏洞的更新,更多细节参见: Adobe官方安全公告 披露时间线: - 2015-12-01: 向厂商报告漏洞 - 2016-05-10: 协调的公开发布咨询 报告人: Matthias Kaiser 趋势微保护: 趋势微TippingPoint IPS客户通过保护滤波器ID['22630']受到保护。更多信息参见: TippingPoint IPS