PDF soubory opět vystavují Windows vážnému riziku, varují experti

12. 9. 2010

Sdílet

Bezpečnostní experti důrazně varují před zneužíváním nově objevené zero-day zranitelnosti aplikací Adobe pro práci s PDF soubory, která dokáže chytře obejít bezpečnostní mechanizmy ve Windows.

Zranitelnost, která byla identifikována teprve toto úterý výzkumnicí Milou Parkourovou, může využívat PDF soubory, do nichž je vložen škodlivý kód, jenž může exploitovat velmi rozšíření aplikace Adobe Reader, respektive Adobe Acrobat. Exploit je navíc tak sofistikovaný, že dokáže obejít dvě poměrně důležité obrané mechanizmy Windows - ASLR (address space layout randomization) a DEP (data execution prevention).

Chet Wisniewski, bezpečnostní poradce ve firmě Sophos, říká, že se jedná o velmi chytrý typ exploitu a nově objevená technika je značně sofistikovanější, než běžné útoky uskutečňované prostřednictvím PDF souborů a vyžaduje pokročilé schopnosti hackerů. Škodlivý soubor, který se rozesílá jako e-mailová příloha, je navíc digitálně podepsán platnou signaturou od společnosti Vantage Credit Union, což mu dodává na důvěryhodnosti. Vantage Credit Union již tedy platnost této ukradené signatury odvolala a varovala uživatele na svém webu.

Experti v každém případě hodnotí tento exploit díky svojí vysoké úrovni za velmi nebezpečný a předpokládají, že bude využíván do doby, než Adobe zranitelnost zazáplatuje a to zejména k útokům na vybrané jedince či konkrétní firmy. Hackeři pravděpodobně v nejbližší době zintenzivní svoje snahy a Wisniewski očekává, že brzy můžeme čekat sérii nových útoků.

Také společnost Adobe již varovala uživatele před zranitelností, ale ještě nepotvrdila, kdy chybu opraví. Wisniewski ve snaze zabránit exploitování operačního systému vyzkoušel vypnout použití JavaScriptu v Readeru a Acrobatu, což útoky zablokovalo, ale jedná se jen o provizorní obranu, která uživatele nemusí ochránit proti budoucím útokům. JavaScript je možné vypnout v preferencích aplikace a odškrtnout zde standardně zapnuté políčko povolit Acrobat JavaScript.