Vores kollegaer fra Group-IB, som vi bl.a. arbejder tæt sammen med i European Cyber Security Federation (http://ecyfed.com/), har netop frigivet oplysninger om en frisk 0-dags sårbarhed, som befinder sig i alle nyere versioner af Adobe Reader herunder X/XI.
Sårbarheden er af typen 0-dag. Det vil sige, at Adobe fortsat arbejder på at producere en sikkerhedslap. Adobe Reader X/XI er blandt de mest populære tredjepartsprodukter i verden, og anvendes af millioner af slutbrugere.
Denne sårbarhed kræver, i vores testlab, at ofret foretager en vis interaktion for at arbitrær kode kan afvikles - eksempelvis via klassisk drive-by tilgang. Det forudsætter bl.a. at man kan lokke et offer til at lukke Adobe Reader manuelt efter dialogboksen "do you want so save the changes?" er blevet vist. Det vil langt de fleste almindelige slutbrugere nok gøre, hvorfor vi finder denne sårbarhed yderst potent.
Exploitkoden vil altid indeholde følgende kritiske segment: "X 0 obj <</Pages Y 0 R [shellkode] >> endobj Y 0 obj << >> endobj". Vi antager at dette kan anvendes til at detekte potentielt skadelige PDF dokumenter, som forsøger at misbruge denne svaghed.
CSIS er i besiddelse af komplet PoC (Proof of Concept) kode. En demo, som illustrerer sårbarheden i praktisk anvendelse, kan findes på Youtube:
http://www.youtube.com/watch?v=uGF8VDBkK0M
CSIS monitorerer denne udvikling tæt, og vi blokerer naturligvis potentielt fjendtlige websider i CSIS Secure DNS og Heimdal Security Agent Pro og Corporate.
↧
CSIS Blog: 0-dags sårbarhed i Adobe Reader X/XI
↧