Nástroj Microsoftu proti kritické chybě v Adobe Readeru

16. 9. 2010

Sdílet

Microsoft nabízí uživatelům ochranu proti zranitelnosti při zpracování formátu PDF v Adobe Readeru a Acrobatu. Adobe již vydala oficiální varování a upozorňuje na velké množství podvodných PDF souborů, které se útočníci snaží šířit především e-mailem.

Viz také: Adobe varuje před útoky proti zero day zranitelnosti v Readeru

Samotná záplata pro Adobe Reader zatím není k dispozici, Microsoft však nabízí jako řešení této zranitelnosti svůj nástroj EMET (Enhanced Mitigation Experience Toolkit) v aktuální verzi 2.0. Informace o provedení příslušného postupu přináší web Microsoftu. Microsoft zde vysvětluje, že knihovna icucnv36.dll nemá povolenou ochranu ASLR (znáhodnění adresního prostoru, address space layout randomization). Pokud se útočníkům ještě podaří pomocí metody exploitu ROP (Return Oriented Programming) obejít ochranu DEP (prevence spuštění dat, data execution prevention), mají otevřenou cestu k úplnému ovládnutí systému.

Nástroj EMET funguje v zásadě tak, že pro knihovnu icucnv36.dll zapne ochranu ASLR. Problém přetrvává ve Windows XP a Windows 2003 Serveru, které ASLR ještě nepodporují, nicméně i zde je k dispozici způsob, jak exploitům pomocí souborů PDF předejít. Microsoft ovšem upozorňuje, že tyto postupy nejsou dostatečně otestovány, protože firma chtěla uživatelům poskytnout nějakou ochranu co nejrychleji.

Množí se hlasy doporučující používat pro práci se soubory PDF z důvodu bezpečnosti raději nějaký alternativní prohlížeč (u nástroje FoxIt již nějaký čas podobně závažné bezpečnostní chyby nebyly zjištěny). Na americkém Computerworldu je Adobe kritizována za špatnou práci svých programátorů, kteří chybně nastavili parametry souboru icucnv36.dll. Chybě se údajně dalo snadno předejít. Adobe slibuje, že budoucí verze Acrobatu/Readeru se budou spouštět v sandboxu, tedy v prostředí odděleném o zbytku systému. Podobné exploity by pak pro útočníky měly být mnohem obtížnější. Není však známo, kdy tyto nové „sandboxové“ verze budou k dispozici.

Termín pro příští pravidelnou várku záplat bude mít Adobe 12. října. Předpokládá se, že do té doby se ale Acrobat/Reader dočkají nějaké mimořádné aktualizace.

bitcoin_skoleni

Nástroj EMET je ke stažení zde.