CVE-2021-44714

Adobe Acrobat Reader Missing Custom Protocols in Warning Message Prompts

CVSS 2.5 LOWEPSS 2.5%CWE-657

Em resumo

O Adobe Acrobat Reader não avisa os usuários sobre protocolos customizados em PDFs, permitindo que atacantes enganem os usuários para permitir ações potencialmente perigosas. O diálogo de aviso está incompleto, facilitando a contornagem de verificações de segurança por engano.

Detalhe técnico

As versões 21.007.20099 e anteriores do Acrobat Reader DC carecem de avisos sobre protocolos customizados nos prompts de segurança (CWE-657: Violação de Princípios de Design Seguro), permitindo que atacantes criem PDFs maliciosos que enganem usuários a conceder permissões. A exploração requer interação do usuário (clicar em 'permitir' no aviso incompleto), mas a omissão de informações de protocolo no diálogo enfraquece a barreira de segurança pretendida.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Acrobat Reader DC version 21.007.20099 (and earlier), 20.004.30017 (and earlier) and 17.011.30204 (and earlier) are affected by a Violation of Secure Design Principles that could lead to a Security feature bypass. Acrobat Reader DC displays a warning message when a user clicks on a PDF file, which could be used by an attacker to mislead the user. In affected versions, this warning message does not include custom protocols when used by the sender. User interaction is required to abuse this vulnerability as they would need to click 'allow' on the warning message of a malicious file.

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Produtos afetados

Adobe · Acrobat Reader

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://helpx.adobe.com/security/products/acrobat/apsb22-01.html