CVE-2018-4990

Adobe Acrobat and Reader

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Adobe Acrobat and Reader have a double free vulnerability that could lead to remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-4990 представляет собой критическую уязвимость типа Double Free (двойное освобождение памяти) в движке обработки JavaScript программного обеспечения Adobe Acrobat и Reader. Ошибка возникает при некорректном управлении объектами в памяти, что позволяет злоумышленнику выполнить произвольный код (RCE) в контексте текущего пользователя.

Для успешной атаки злоумышленнику достаточно убедить жертву открыть специально сформированный PDF-файл. Часто эта уязвимость использовалась в связке с CVE-2018-8120 (уязвимость ядра Windows) для выхода из «песочницы» Adobe Reader и повышения привилегий в системе.

Как исправить

Основным способом устранения уязвимости является обновление программного обеспечения до актуальных версий, в которых ошибка была исправлена (версии от мая 2018 года и выше).

  1. Для Adobe Acrobat DC / Acrobat Reader DC (Continuous Track): Обновитесь до версии 2018.011.20040 или выше.
  2. Для Adobe Acrobat 2017 / Acrobat Reader 2017 (Classic Track): Обновитесь до версии 2017.011.30080 или выше.
  3. Для Adobe Acrobat XI / Acrobat Reader XI: Обновитесь до версии 11.0.23 или выше.

Обновление через графический интерфейс: Откройте приложение -> Справка (Help) -> Проверить наличие обновлений (Check for Updates).

Для автоматизированного обновления в корпоративной среде используйте следующие команды:

Обновление через Windows Package Manager (winget):

winget upgrade --id Adobe.Acrobat.Reader.64-bit

Принудительный запуск службы обновления Adobe (на рабочих станциях):

C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

Временные меры

Если немедленное обновление невозможно, необходимо применить настройки безопасности для снижения риска эксплуатации:

  1. Отключите выполнение JavaScript в Adobe Reader:
reg add "HKCU\Software\Adobe\Acrobat Reader\DC\JSPrefs" /v bEnableJS /t REG_DWORD /d 0 /f
  1. Включите режим усиленной защиты (Enhanced Security):
reg add "HKCU\Software\Adobe\Acrobat Reader\DC\Privileged" /v bProtectedMode /t REG_DWORD /d 1 /f
  1. Запретите открытие PDF-файлов в браузере (наиболее частый вектор атаки):
reg add "HKCU\Software\Adobe\Acrobat Reader\DC\Originals" /v bBrowserIntegration /t REG_DWORD /d 0 /f
  1. Используйте средства защиты (EDR/AV) с актуальными сигнатурами и настроенными правилами поведенческого анализа для блокировки подозрительных дочерних процессов, запускаемых из-под AcroRd32.exe или Acrobat.exe.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей