Jak się bronić przed zero-day w Adobe?

Wczoraj, jako pierwszy polski serwis, ostrzegaliśmy przed nową luką zero-day w oprogramowaniu Adobe. Dziś, jako że znane są kolejne szczegóły w tej sprawie, podpowiadamy, w jaki sposób można się przed zagrożeniem zabezpieczyć, oraz przedstawiamy nowe informacje na temat krążącego w sieci exploitu.

Problem został pierwotnie zidentyfikowany i upubliczniony przez badaczy z firmy FireEye. Obecnie dostępna jest już znacznie bardziej obszerna analiza exploitu oraz całej gamy działań, które na podatnym systemie próbuje wykonać payload.

Exploit jest na tyle zaawansowany, że jest w stanie poradzić sobie z zabezpieczeniami takimi jak DEP (Data Execution Prevention) i ASLR (Address space layout randomization). Co najciekawsze, w najnowszej wersji Adobe Readera (11) dostępna jest funkcja, która może nas przed takim atakiem ochronić. Jest ona jednak domyślnie… wyłączona. W celu jej aktywowania należy przejść do menu Edycja -> Preferencje i w sekcji Zabezpieczenia (rozszerzone) zaznaczyć Wszystkie pliki dla ustawienia Podgląd chroniony.

Zalecane ustawienia Adobe Reader

Skoro więc Adobe opracowało funkcję, która jest w stanie ochronić nas przed tak zaawansowanymi exploitami, pozostaje pytanie, dlaczego jest ona domyślnie wyłączona?

Odpowiedź jest wbrew pozorom bardzo prosta. Otóż w trybie widoku chronionego wiele funkcji jest niedostępnych. Jak to więc często bywa, bezpieczeństwo przegrało z funkcjonalnością. Każdy użytkownik, który nie chce z oprogramowania Adobe rezygnować, powinien jednak w obecnych warunkach poważnie rozważyć włączenie powyższej funkcji.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)