Qual è il rischio di un PDF "infetto" con BC.Pdf.Exploit.CVE_2017_3033?

Naviga le tue risposte
1

ClamAV (rilevamento versione 20170623) rileva BC.Pdf.Exploit.CVE_2017_3033 in alcuni file PDF. Mi chiedo se questo non sia un falso positivo perché nessun altro motore rileva tale "infezione". Il CVE riguarda:

Adobe Acrobat Reader versions 11.0.19 and earlier, 15.006.30280 and earlier, 15.023.20070 and earlier have a memory address leak vulnerability when handling JPEG 2000 code-stream tile data.

  • CVSS v2 Base Score: 4.3 MEDIUM
  • CVSS v3 Base Score: 3.3 LOW

Source: https://nvd.nist.gov/vuln/detail/CVE-2017-3033

Questo significa che il file PDF sta causando l'arresto anomalo di Adobe Acrobat Reader a causa della perdita di indirizzi di memoria? O questo significa che il PDF è "infetto" e può causare più danni? O è solo che il code-stream JPEG 2000 in quel file PDF può causare l'arresto anomalo di Adobe Reader?

Infine, oltre ovviamente all'aggiornamento di Adobe Reader, cosa posso fare per "sistemare" e "ripulire" questi file PDF?

    
posta Bob Ortiz 23.06.2017 - 12:06
fonte

2 risposte

4

Determinare se questo è un falso positivo o no è impossibile senza guardare effettivamente i file.

La vulnerabilità in questione sembra essere un classico fuori limite letto e probabilmente sfruttabile ma è difficile da dire fino a quando qualcuno non mette effettivamente in opera per scrivere un exploit.

Forse dovresti considerare di dire alle persone di ClamAV di esaminare questo. A quanto pare, un problema simile è già stato risolto: link

    
risposta data 23.06.2017 - 13:14
fonte
2

Ho appena sperimentato questo stesso problema. ClamXav ha trovato oltre 10 PDF sul mio Mac con infezioni BC.Pdf.Exploit.CVE_2017_3033. Ho aperto ciascun PDF in Adobe Acrobat Pro 11.0.13, ho fatto un salvataggio con nome ..., ho scelto un nome simile e ho scansionato di nuovo i nuovi file. ClamXav ha dichiarato che i nuovi PDF sono puliti.

Tutti i PDF sono stati scaricati da Google Libri durante un periodo di tempo simile. Questo è tutto ciò che posso contribuire.

    
risposta data 23.06.2017 - 17:54
fonte

Leggi altre domande sui tag

utilizzando oAuth2 auth dance vs oAuth1 signing Perché non esiste un'opzione per la password sudo separata?