CVE-2009-3953

Adobe Acrobat and Reader

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Adobe Acrobat and Reader contains an array boundary issue in Universal 3D (U3D) support that could lead to remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2009-3953 представляет собой критическую уязвимость типа «выход за границы массива» (Array Index Out-of-Bounds) в компоненте обработки формата Universal 3D (U3D) в продуктах Adobe Reader и Acrobat.

Проблема возникает при парсинге специально сформированного PDF-файла, содержащего 3D-контент. Из-за некорректной проверки индексов массива при обработке U3D-объектов злоумышленник может вызвать повреждение памяти (memory corruption). Это позволяет выполнить произвольный код (RCE) в контексте текущего пользователя или вызвать полный отказ в обслуживании (DoS) приложения.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения до версий, в которых данная ошибка была исправлена производителем.

  1. Для пользователей Adobe Reader и Acrobat 9.x: необходимо обновиться до версии 9.3 или выше.
  2. Для пользователей Adobe Reader и Acrobat 8.x: необходимо обновиться до версии 8.2 или выше.

Обновление можно выполнить через встроенный механизм (Help -> Check for Updates) или скачав установщик с официального сайта Adobe.

Для автоматизированного развертывания в корпоративной среде (через SCCM или GPO) используйте команды тихой установки патчей (MSP):

msiexec /p AdbeRdrUpd930_all_incr.msp /qn

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки путем отключения обработки 3D-контента или блокировки соответствующих библиотек.

1. Отключение компонента 3D через реестр Windows Это предотвратит загрузку модуля U3D. Создайте или измените параметр bEnable3D в ключе FeatureLockDown.

reg add "HKLM\SOFTWARE\Policies\Adobe\Acrobat Reader\9.0\FeatureLockDown" /v bEnable3D /t REG_DWORD /d 0 /f

2. Изоляция библиотеки (Kill-bit для плагина) Удаление или переименование файла Annots.api (который отвечает за мультимедиа и 3D) в папке плагинов Adobe Reader. Путь по умолчанию: C:\Program Files (x86)\Adobe\Reader 9.0\Reader\plug_ins\Annots.api.

rename "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\plug_ins\Annots.api" "Annots.api.bak"

3. Использование Enhanced Mitigation Experience Toolkit (EMET) или Windows Defender Exploit Guard Включите принудительную рандомизацию макета адресного пространства (ASLR) и предотвращение выполнения данных (DEP) для процесса AcroRd32.exe, чтобы затруднить эксплуатацию повреждения памяти.

Set-ProcessMitigation -Name AcroRd32.exe -Enable DEP,BottomUpASLR
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей