HWSW

Megint foltoznia kell a Readert az Adobe-nak

Amerikai távközlési cégeket és iparvállalatokat, köztük hadiipari cégeket támadtak egy PDF-sebezhetőséggel, amelyet a Lockheed Martin jelentett a gyártónak. A jövő héten érkezik a frissítés.

Kritikus sebezhetőségre figyelmezteti felhasználóit az Adobe: a szinte minden PC-n megtalálható Adobe Reader X vagy régebbi verziói, illetve a PDF állományok létrehozásár szolgáló Acrobat egyaránt tartalmazza azt a sérülékenységet, amely a szoftver összeomlásához vezethet és lehetővé teszi a támadó számára az irányítás átvételét a gép fölött.

Az Adobe már értesült a sebezhetőséget kihasználó célzott támadásokról. A Symantec Security Response szerint elsősorban iparvállalatok, valamint az amerikai Védelmi Minisztérium beszállítói, tehát hadiipari cégek, valamint távközlési cégek dolgozói kaptak olyan emaileket, amelyekben a sebezhetőséget kihasználó preparált PDF állományok voltak. A megcélzott áldozatokat átveréssel próbálták meg a levélírók rávenni arra, nyissák meg a fájlokat. A különféle cégek alkalmazottai eltérő emaileket kaptak és a csatolt fájlok is eltértek, de ugyanazt a támadó kódot tartalmazták.

xBrandon Dixon független biztonsági szakértő szerint a Lockheed Martin egyik alvállalkozójánál, az informatikai rendszerek védelmével foglalkozó ManTech cégnél bukkantak az alkalmazottak olyan preparált PDF-ekre, amelyeket egy dolgozói elégedettségi kérdőívnek álcáztak. A sebezhetőségre is a Lockheed Martin hívta fel az Adobe figyelmét, derül ki a biztonsági értesítésből [1]. Dixon elemzése szerint [2] a PDF fájlokba rejtett támadó kód egy JavaScript segítségével ellenőrizte az operációs rendszer és a Reader vagy Acrobat verziószámát, majd lefuttatta magát a támadást, amely a Sykipot [3] nevű backdoort telepítette.

Az egyik támadó email

Az Adobe a jövő héten soron kívüli javítást fog kiadni a Windowson és Mac OS X-en futó Reader 9.x és Acrobat 9.x szoftverekre, a Reader X-re és Acrobat X-re azonban nem érkezik patch, mivel a vállalat szerint ezek Protected Mode, illetve Protected View funkciója megakadályozza a támadás sikeres lefutását. Ezekre a verziókra csak a szokásos negyedéves frissítési ciklus keretében, január elején jön majd javítás. Ugyanekkor frissíti az Adobe a Reader 9x UNIX-verzióját is. A sebezhetőségről részletesen a Buherablogban [4] is lehet olvasni.

 

A cikkben hivatkozott linkek:
[1] http://www.adobe.com/support/security/advisories/apsa11-04.html
[2] http://blog.9bplus.com/analyzing-cve-2011-2462
[3] http://www.symantec.com/security_response/writeup.jsp?docid=2010-031015-0224-99
[4] http://buhera.blog.hu/2011/12/07/celzott_tamadasok_adobe_reader_0_day
A cikk adatai:
//www.hwsw.hu/hirek/47716/adobe-acrobat-reader-pdf-sebezhetoseg-biztonsag.html
Író: Bodnár Ádám (bodnar.adam kukac hwsw.hu)
Dátum: 2011. december 08. 13:00
Rovat: vállalati it