Adobe ostrzega przed luką Zero Day w Readerze i Acrobacie
Adobe ostrzega przed nową luką w Adobe Readerze i Acrobacie 9.3.4, a także we wcześniejszych wersjach dla Windows, Mac OS-a X i Uniksa. Według firmy Secunia, przyczyną problemu jest przepełnienie bufora wywoływane przez błąd w bibliotece CoolType.dll przy przetwarzaniu czcionek ekranowych.
Napastnicy najprawdopodobniej już teraz wykorzystują usterkę do infekowania komputerów z systemem Windows, używając odpowiednio spreparowanych dokumentów PDF. Exploit jest w stanie przełamać zabezpieczenia mechanizmów ochronnych w Windows 7 i Viście, takich jak blokada wykonywania danych (DEP) czy rozproszenie przestrzeni adresowej (ASLR) i bazuje na tak zwanym Return-oriented Programming, w którym do stosu zamiast kodu trafiają jedynie adresy zwrotne i parametry.
Według firmy Kaspersky, w odróżnieniu od dotychczasowych exploitów z wykorzystaniem plików PDF, exploit nie ładuje dodatkowego kodu z sieci, ponieważ ten ostatni znajduje się już w dokumencie. Inni specjaliści od bezpieczeństwa spostrzegli za to, że exploit pobiera dalszy kod z domeny academyhouse.us.
Zainstalowany "szkodnik" dysponuje poza tym ważnym cyfrowym podpisem - do tej pory wiele skanerów antywirusowych standardowo nie sprawdzało takich plików. Już w lipcu pojawił się trojan z ważnym podpisem cyfrowym. Tym niemniej wydaje się, że wielu producentów programów antywirusowych już przygotowało sygnatury dla nowego trojana PDF, na co wpłynęła dobra i szybka komunikacja pomiędzy producentami programów a niezależnymi specjalistami od zabezpieczeń i analitykami malware'u.
Nie wiadomo, czy może tutaj pomóc wyłączenie JavaScriptu w Readerze i Acrobacie. Producent oprogramowania antywirusowego Sophos w prowadzonym przez siebie blogu zauważa, że zaobserwowany exploit używa JavaScriptu, tak więc jego wyłączenie mogłoby w jakiś sposób zabezpieczać użytkownika. Jednak Adobe nie wydało takiego zalecenia.
Na razie luka nie doczekała się łaty, ale producent pracuje nad rozwiązaniem problemu. Ze względu na to, że Adobe z powodu wielu dziur w oprogramowaniu jest już od lat na celowniku przestępców, producent w przyszłych wersjach zamierza zabezpieczać produkt, wbudowując w niego piaskownicę (sandbox). Będzie ona blokowała próby dostępu do zapisu wychodzące z czytnika do systemu Windows.
Jej funkcją będzie też uniemożliwianie zmian w Rejestrze albo w plikach na dysku twardym, jak też uruchamianie procesów albo prób dostępu do łączy komunikacyjnych i segmentów pamięci dzielonej. Póki co użytkownicy mogą korzystać z innych czytników PDF, np. z Foxit Readera.
