W Internecie krążą złośliwe pliki PDF wykorzystujące lukę w aplikacjach Adobe Reader i Acrobat w wersjach 8.1.1 i wcześniejszych. Dzieje się tak pomimo załatania przez producenta podatności i wypuszczenia nowych wersji swoich programów (8.1.2).
Luka znajduje się we fragmencie odpowiedzialnym za obsługę kodu JavaScript. Pozwala ona na przepełnienie bufora, co może doprowadzić do wykonania dowolnego kodu w systemie.

Po otwarciu spreparowanego pliku PDF ściągany jest malware będący koniem trojańskim zwanym Zonebac. Trojan ten wyłącza programy anty wirusowe, a także modyfikuje wyniki wyszukiwań stron internetowych oraz wyświetla w przeglądarkach internetowych paski reklamowe. Zainfekowane PDF’y są umieszczane na stronach WWW lub wysyłane jako załącznik listu email. Użytkownik infekuje się w chwili otwarcia pliku w podatnym oprogramowaniu (także, gdy otwarcie następowało przy pomocy wtyczki w przeglądarce internetowej).

Jak donoszą zaangażowani w sprawę specjaliści z iDefense Labs luka ta był odkryta przez nich i zgłoszona firmie Adobe już w październiku zeszłego roku. Ponadto w chwili obecnej programy antywirusowe nie wykrywają złośliwych PDF’ów.

Pomimo wydania przez producenta poprawionej wersji aplikacji liczba infekcji ciągle rośnie. Dlatego zalecamy jak najszybciej dokonać aktualizacji (pliki dostępne na stronie firmy Adobe), lub wyłączyć możliwości przetwarzania skryptów JS (w Adobe Reader: Edit -> Preferences -> JavaScript: odhaczyć checkbox “Enable Acrobat JavaScript”).

Źródło:
labs.idefense.com
isc.sans.org

Tags: Adobe, buffer overflow, exploit, JavaScript, luka, malware, patch, PDF

Wpis utworzony 12 lutego 2008 o 13:30 i umieszczony w kategorii Posty. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0