Adobe Digital Editions嵌入字体处理内存破坏漏洞

漏洞起因
设计错误
危险等级

影响系统
Adobe Digital Editions 2.x

不受影响系统

危害
远程攻击者可以利用漏洞可使应用程序崩溃或可以应用程序上下文执行任意代码。
CVSSv2:

攻击所需条件
攻击者必须构建恶意文件,诱使用户解析。

漏洞信息
Adobe Digital Editions是一款由Adobe公司开发的电子书阅读管理工具。
Adobe Digital Editions处理嵌入字体中CVT Pragram表(prep tag)时rmsdk_wrapper.dll模块存在一个错误,允许攻击者构建一个包含特制字体流的PDF文件,诱使应用程序解析,可触发内存破坏,可以以应用程序上下文执行任意代码。

测试方法
安全建议

厂商解决方案
Adobe Digital Editions 2.0.1已经修复此漏洞,建议用户下载更新:
http://www.adobe.com/products/digital-editions/download.html

漏洞提供者
Kaveh Ghaemmaghami (coolkaveh) via Secunia