Adobe eBook Reader文件保护限制可突破漏洞

漏洞信息详情

Adobe eBook Reader文件保护限制可突破漏洞

• CNNVD编号：CNNVD-200210-187
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-1016
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-07-19
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  adobe
• 漏洞来源：
  Vladimir Katalov v…

Adobe eBook Reader是一款可以阅读Adobe eBooks的客户端应用程序，可使用在Microsoft Windows和Macintosh OS 9操作系统下。Adobe Content Server是一款安全的在线销售电子书籍的产品，可提供对电子书籍内容进行保护，用户可以阅读书籍，但阅读的内容限制由发布者规定。
Adobe eBook Reader存在设计漏洞，本地攻击者可以利用这个漏洞提升部分权限，突破发布者对文件内容的一些规定。
假如发布者提供用户可以打印和拷贝文件内容，但限制用户只能10天内打印10页，或者10天内只有拷贝文件中10页，攻击者可以通过先备份Adobe Acrobat eBook Reader文件夹中的如下内容：
Data＼Vouchers＼*.*
Data＼GB.dbd
Data＼Category.etb
Data＼Library*.etb
Data＼Library*.vld
在Adobe Acrobat eBook Reader执行完拷贝和打印之后，然后在恢复这些备份文件，拷贝或打印的限制就恢复到原来没有执行拷贝和打印完的状态，本地攻击者可以利用这个漏洞突破发布者限制。

厂商补丁：
Adobe
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.adobe.com/products/ebookreader/” target=”_blank”>
http://www.adobe.com/products/ebookreader/

来源:US-CERT Vulnerability Note: VU#438867
名称: VU#438867
链接:http://www.kb.cert.org/vuls/id/438867

来源: BID
名称: 5273
链接:http://www.securityfocus.com/bid/5273

来源: XF
名称: adobe-ebook-bypass-restrictions(9634)
链接:http://www.iss.net/security_center/static/9634.php

来源: FULLDISC
名称: 20020719 Vulnerability found: Adobe Acrobat eBook Reader and Content Server
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2002-July/000177.html