NVD Vulnerability Detail

CVE-2010-1240

Summary	Adobe Reader and Acrobat 9.x before 9.3.3, and 8.x before 8.2.3 on Windows and Mac OS X, do not restrict the contents of one text field in the Launch File warning dialog, which makes it easier for remote attackers to trick users into executing an arbitrary local program that was specified in a PDF document, as demonstrated by a text field that claims that the Open button will enable the user to read an encrypted message.
Publication Date	April 6, 2010, 12:30 a.m.
Registration Date	Jan. 29, 2021, 10:59 a.m.
Last Update	Sept. 19, 2017, 10:30 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://blog.didierstevens.com/2010/03/29/escape-from-pdf/	MISC	Exploit
2	http://blog.didierstevens.com/2010/06/29/quickpost-no-escape-from-pdf/	MISC
3	http://lists.immunitysec.com/pipermail/dailydave/2010-April/006075.html	MLIST
4	http://www.adobe.com/support/security/bulletins/apsb10-15.html	CONFIRM
5	http://www.securitytracker.com/id?1024159	SECTRACK
6	http://www.us-cert.gov/cas/techalerts/TA10-231A.html	CERT	US Government Resource
7	http://www.vupen.com/english/advisories/2010/1636	VUPEN
8	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A7466	OVAL

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN Vulnerability Information

Adobe Reader および Acrobat における任意のローカルプログラムを実行させられる脆弱性

Title	Adobe Reader および Acrobat における任意のローカルプログラムを実行させられる脆弱性
Summary	Adobe Reader および Acrobat には、Launch ファイルの警告ダイアログ内にある、テキストフィールドのコンテンツを制限しないため、ユーザが PDF ドキュメント内の任意のローカルプログラムを実行させられる脆弱性が存在します。
Possible impacts	第三者により、ユーザが PDF ドキュメント内の任意のローカルプログラムを実行させられる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 5, 2010, midnight
Registration Date	July 20, 2010, 6:07 p.m.
Last Update	Sept. 1, 2010, 2:52 p.m.

Affected System

レッドハット

Red Hat Enterprise Linux Extras 4 extras

Red Hat Enterprise Linux Extras 4.8.z extras

RHEL Desktop Supplementary 5 (client)

RHEL Supplementary 5 (server)

RHEL Supplementary EUS 5.4.z (server)

アドビシステムズ

Adobe Acrobat 9.3.3 およびそれ以前

Adobe Reader 9.3.3 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2010-1240	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1240
National Vulnerability Database (NVD)
2	CVE-2010-1240	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-1240

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
Adobe Security Bulletin
1	APSB10-15	http://www.adobe.com/support/security/bulletins/apsb10-15.html
2	APSB10-17	http://www.adobe.com/support/security/bulletins/apsb10-17.html
Adobe セキュリティ情報
3	APSB10-15	http://www.adobe.com/jp/support/security/bulletins/apsb10-15.html
4	APSB10-17	http://www.adobe.com/jp/support/security/bulletins/apsb10-17.html
Red Hat Security Advisory
5	RHSA-2010:0503	https://rhn.redhat.com/errata/RHSA-2010-0503.html
富士通セキュリティ情報
6	TA10-159A	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-159a.html
7	TA10-162A	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-162a.html
8	TA10-231A	http://software.fujitsu.com/jp/security/vulnerabilities/ta10-231a.html

その他

No	Name	URL
IPA 緊急対策情報
1	20100611-adobe	http://www.ipa.go.jp/security/ciadr/vul/20100611-adobe.html
JPCERT 緊急報告
2	JPCERT-AT-2010-0015	https://www.jpcert.or.jp/at/2010/at100015.txt
3	JPCERT-AT-2010-0017	https://www.jpcert.or.jp/at/2010/at100017.txt
4	JPCERT-AT-2010-0022	http://www.jpcert.or.jp/at/2010/at100022.txt
JVN
5	JVNTA10-159A	http://jvn.jp/cert/JVNTA10-159A/index.html
6	JVNTA10-162A	http://jvn.jp/cert/JVNTA10-162A/index.html
7	JVNTA10-231A	http://jvn.jp/cert/JVNTA10-231A
JVN Status Tracking Notes
8	JVNTR-2010-16	http://jvn.jp/tr/JVNTR-2010-16
9	JVNTR-2010-21	http://jvn.jp/tr/JVNTR-2010-21
US-CERT Cyber Security Alerts
10	SA10-159A	http://www.us-cert.gov/cas/alerts/SA10-159A.html
11	SA10-162A	http://www.us-cert.gov/cas/alerts/SA10-162A.html
12	SA10-231A	http://www.us-cert.gov/cas/alerts/SA10-231A.html
US-CERT Technical Cyber Security Alert
13	TA10-159A	http://www.us-cert.gov/cas/techalerts/TA10-159A.html
14	TA10-162A	http://www.us-cert.gov/cas/techalerts/TA10-162A.html
15	TA10-231A	http://www.us-cert.gov/cas/techalerts/TA10-231A.html
VUPEN Security
16	VUPEN/ADV-2010-1636	http://www.vupen.com/english/advisories/2010/1636
17	VUPEN/ADV-2010-2123	http://www.vupen.com/english/advisories/2010/2123
警察庁 @police
18	アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて	http://www.npa.go.jp/cyberpolice/#topics

Change Log

No	Changed Details	Date of change
0	[2010年07月20日] 掲載 [2010年09月01日] 影響を受けるシステム：アドビシステムズ (APSB10-17) の情報を追加ベンダ情報：アドビシステムズ (APSB10-17) を追加ベンダ情報：富士通 (TA10-231A) を追加	Feb. 17, 2018, 10:37 a.m.