Zranitelnost Acrobat Readeru zasáhla zřejmě tisíce počítačů

12. 2. 2008

Sdílet

Podvodníkům se údajně podařilo důkladně zneužít jednu z posledních chyb v prohlížeči Adobe Reader. Povaha zranitelnosti umožňovala v rámci PDF manipulaci s nebezpečným javascriptovým kódem. Ve finále mohlo na kompromitovaném počítači dojít ke spuštění libovolného vzdáleného kódu.

Podvodníkům se údajně podařilo důkladně zneužít jednu z posledních chyb v prohlížeči Adobe Reader. Firma Adobe zveřejnila záplaty před týdnem, jedna ze zranitelností ale alespoň podle Internet Storm Center a firmy VeriSign začala být houfně zneužívána už asi od 20. ledna.

Ke spamu šířenému ve formátu PDF tak v mezidobí od oznámení chyby přibyly trojské koně (varianty trójana Zonebac), které rozesílaly soubory PDF uživatelům přímo nebezpečné. Původním zdrojem těchto útoků bylo Nizozemí a jejich první doklad byl 20. 1. zjištěn v Itálii. Na infikovaných počítačích byly vypnuty antivirové programy a změnily se i výsledky vyhledávání.
Uvádí se, že povaha zranitelnosti umožňovala v rámci PDF manipulaci s nebezpečným javascriptovým kódem, který se postaral o další neplechy (přes přetečení buffer overflow; vlastní chyba byla tedy ve zpracování JavaScriptu a v linkování knihoven odpovědných např. za šifrování). Chyba zasáhla nejenom prohlížeč, ale i plný Adobe Acrobat.
Uživatelé mohli být postiženi nejen otevřením závadného PDF dokumentu rozesílaného e-mailem. Mnohem více obětí má zřejmě na svědomí infekce z webu. Narušitelům se podařilo zasáhnout do kódu některých seriózních, avšak kompromitovaných webových serverů a reklamních systémů, které pak uživatele přesměrovaly na škodlivé soubory PDF např. pomocí prvku Iframe. Ve finále mohlo na kompromitovaném počítači dojít ke spuštění libovolného vzdáleného kódu.
Hon Lau, jeden z bezpečnostních odborníků firmy Symantec, uvedl, že v důsledku chyby byly zasaženy tisíce počítačů. Okamžitá aplikace opravy od Adobe by proto měla být povinností. Lau také uvedl, že podrobnosti o povaze chyby a možnostech zneužití se nejspíš staly známými ještě před zveřejněním oficiální záplaty; o tom, jak k tomu došlo, lze pouze spekulovat.
Oprava je k dispozici jako verze Reader 8.1.2, verze Acrobat Reader 7 dosud záplatována nebyla. Chyba se týká jak uživatelů Acrobat Readeru na Windows, tak i v případě, že je používán jako prohlížeč PDF na Mac OS.
Opravu/novou verzi lze stáhnout ze stránek Adobe.

Zdroj: Computerworld.com

Viz také článek Překvapení: většina malvaru pochází ze seriózních stránek

Autor článku