Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Tym razem PDF, czyli nowy zero-day na wolności
Adobe ostrzegło właśnie przed nową luką typu zero-day w oprogramowaniu Adobe Reader oraz Acrobat XI (11.0.1). W związku z tym, że podatność jest już prawdopodobnie wykorzystywana, do czasu jej załatania warto zachować szczególną ostrożność w stosunku do dokumentów PDF nieznanego pochodzenia.
Problem został zidentyfikowany i zaraportowany przez badaczy z firmy FireEye. Znaleziona próbka złośliwego kodu została przesłany do Adobe w celu przeprowadzenie szczegółowej analizy. Zdaniem odkrywców nowego exploita, jest on w stanie skutecznie zaatakować Adobe PDF Reader 9.5.3, 10.1.5 oraz 11.0.1. W wyniku udanego wykorzystania podatności, na system ofiary wrzucone zostają dwa pliki DLL. Jeden z nich odpowiada za wyświetlenie fałszywego komunikatu o błędzie oraz otwarcie odwracającego uwagę dokumentu PDF, drugi zaś jest odpowiedzialny za nawiązanie połączenia ze zdalnym hostem.
Pomimo tego, że producent oprogramowania nie potwierdził jeszcze ostatecznie powyższych doniesień, warto na chwilę obecną zachować szczególną ostrożność. Do czasu wyjaśnienia całej sprawy lepiej nie otwierać dokumentów PDF nieznanego pochodzenia w oprogramowaniu Adobe. Dobrym pomysłem może być również wyłączenie w przeglądarce wtyczki Adobe PDF.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
„Do czasu wyjaśnienia całej sprawy lepiej nie otwierać dokumentów PDF nieznanego pochodzenia w oprogramowaniu Adobe. ” Proponowałbym na stale ustalić, żeby nie otwierać dokumentów PDF nieznanego pochodzenia w oprogramowaniu Adobe.
ZEN: Idealnie – tak :) + wyłączyć optymalnie też javę i flasha (ostatnio na slashdot bodaj był tekst w klimacie: już nie mam pół roku flasha i żyję)
Można jeszcze surfować wyłącznie z poziomu live-CD ;)…
@Wojciech Smol: Zakładasz, że dystrybucja nie została zmodyfikowana przez złego hakera, gdy skompromitowano repo, czy coś ;) Poza tym wymusi to najwyżej osiadnięcie na jakimś serwerze w sieci (ostatnio modne do atakowania routery?) w ciągu „dniówki”, bo serwerów nie będziemy przeinstalować co dzień, a i tak obraz też można zmodyfikować (a to mało było np.„cyfrowych ramek” z przeinstalowanym wirusem?) lub zainfekowania obecnie opracowanych dokumentów uzyskując odnawianie infekcji co dzień lub …
@sekurak: PDF można w większości przypadków zastąpić otwartymi czytnikami, które nie w pełni implementują standard, ale dzięki temu mogą wystrzec się luk. Sumatra, Foxit nie jest „bezpieczniejsza” tylko przez popularność. PDF to duży format.
Flash przez zabicie Gnasha nie ma alternatywy, ale Flash sam umiera.
Java – będzie w Intranecie jakiś czas. Może uporządkowanie spraw podpisów kodu Javy?
@Zen: alternatywne readery to dobry pomysł (z tego powodu że są alternatywne to też jest na nie znacznie mniej ataków). Może chciałbyś przygotować na sekuraka krótkie zestawienie tego typu alternatywnych czytników?
BTW. Przydałoby się subskrypcje e-maili…Są wtyczki lepsze niż ma Niebezpiecznik, gdzie pozwalają subskryptować bez pisania komentarza.
Dzięki za sugestie. Mail – pewnie będzie :) Choć zachęcam do RSS. Wszystkie opinie oczywiście zbieramy. Na razie działamy w trybie beta, niedługo pierwsza fala poprawek a później wprowadzanie pomysłów czytelników.