fredag den 20. februar 2009

Ny kritisk Adobe Reader/Acrobat sårbarhed

Adobe er i ilden igen. En ny kritisk sårbarhed i Adobe Reader og Adobe Acrobat v/9 og herunder, kan udnyttes til at crashe programmet og kan give en hacker fuld adgang til computeren. Der er allerede 0day exploit PDF-filer at finde ude på nettet.

Sårbarheden er bekræftet på en fuldt opdateret Windows XP med Servicepack 3, hvor Reader versionerne 8.1.0, 8.1.1, 8.1.2, 8.1.3 (seneste v/8.x) samt 9.0.0 (seneste v/9.x) kan udnyttes. Exploitkoden udnytter et non-JavaScript funktionskald til at udfylde et hukommelsesområde (heap) med kode der kan starte programmer og kommandoer (shell code).

Det formodes, at andre Windows versioner også er i farezonen - og det samme gælder for Linux og Apple OS X. Alt der kræves er, at man indlæser en angrebs-PDF-fil i Adobe Reader. Det kan være et PDF dokument hentet fra nettet - eller som ankommer vedhæftet en e-mail.

Flere antivirusprogrammer kan allerede finde disse angrebs-PDF-filer, eksempelvis Trend Micro og Symantec, men det er baseret på signaturer fra den 12. februar 2009. Man må antage, at personerne bag disse filer har videreudviklet deres angrebskode siden da.

For at imødekomme denne sårbarhed, anbefales det at deaktivere JavaScript muligheden i Adobe Reader og Adobe Acrobat. Det gøres ved at fjerne fluebenet følgende sted:
Rediger / Indstillinger / JavaScript / Aktiver Acrobat JavaScript.


Den mistede funktionalitet er intet mod, hvad der ellers kan ske. Se også Adobes egen Security Bulletin om problemet fra 19. februar 2009: Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat.