22:12
15/8/2012

W ramach wewnętrznego projektu mającego na celu podniesienie bezpieczeństwa internautów korzystających z przeglądarki Google Chrome, Mateusz “j00ru” Jurczyk (niedawny zdobywca Pwnies Award) wraz z Gynvaelem Coldwindem stworzyli fuzzer testujący wbudowany w Chrome czytnik PDF. Potem użyli go także na czytniku PDF od Adobe… Efekt? Dziesiątki znalezionych dziur.

Fuzzowanie czytnika PDF: Adobe Acrobat Reader

Jak piszą badacze, ponad 1,500 corów pracowało przez kilka tygodni, dostarczając do testowanej aplikacji szereg zmutowanych danych wejściowych (plików PDF). Efekt: 46 crashy, które są powtarzalne, a potem, po drobnej modyfikacji fuzzera, dodatkowych 14 crashy. 36 z nich wynikało z trywialnych do wykorzystania podatności, a 9 stwarzało ryzyko zdalnego ataku.

Adobe

Adobe

Gynvael i j00ru poinformowali Adobe o wynikach swoich prac, dostarczając jednocześnie te pliki PDF, które ujawniały istnienie błędów w kodzie czytnika. Googlersi chwalą Adobe za współpracę i szybkość wymiany informacji.

Adobe dziś wypuściło łatki, ale nie na wszystkie dziury…

Dziś Adobe wydało nową wersją czytnika na Windows oraz Mac OS X. Wersja ta łata 25 ze zgłoszonych przez j00ru i Gynvaela błędów (przypisano im numery od CVE-2012-4149 do CVE-2012-4160). I znów Gyn i j00ru chwalą chłopaków z Adobe, że w tak krótkim czasie poprawili tyle błędów, ale zauważają, że jeszcze 16 z dziur w czytniku Adobe nie jest załatanych: 6 dotykających użytkowników Windows i 10 dotyczących Mac OS X. Oraz wszystkie z podatności dotyczą linuksowej wersji czytnika Adobe.

Buggy Adobe

Nie tylko Google lubi Adobe ;)

Gynvael i j00ru, chociaż nie zaobserwowali wykorzystywania exploitów na odnalezione przez nich dziury w realnym świcie, to obawiają się, że niebawem może to nastąpić (sugerują, że błędy można łatwo odkryć robiąc bindiffa na poprzedniej i najnowszej wersji czytnika). Dlatego postanowili podążyć za ogłoszoną przez Google Security Team rok temu zasadą ujawniania informacji o krytycznych błędach po 60 dniach od zgłoszenia ich do producenta oprogramowania, jeśli ten nie wypuścił patcha. I tak oto, badacze ujawnili 16 zanonimizowanych stack trace’ów dla znalezionych przez siebie błędów.

Mam Adobe Readera, co robić?

Podsumowując, jeśli korzystasz z oprogramowania Adobe Readera (na Windows/Mac OS X/Linux) — albo całkiem z niego zrezygnuj do czasu wydania kolejnej poprawki, albo ogranicz otwieranie “niezaufanych” plików. Oczywiście należy tak czy inaczej zainstalować wydane dziś aktualizacje — Adobe bowiem sugeruje, że ataki z wykorzystaniem łatanych dziś błędów już mają miejsce w internecie.

Przy okazji przypominamy, że Adobe wypuściło dziś także poprawki dla Flasha (i tu też exploity sa już wykorzystywane przez atakujących). Klikając tutaj możecie sprawdzić, czy macie najnowszą wersję playera.

Korzystam z Google Chrome, co robić?

Znalezione przez j00ru i Gyna błędy typu integer overflow, use-after-free, out-of-bounds writes, ocenione na wysokie i bardzo wysokie zostały już załatane w kodzie przeglądarki Chrome. Dodatkowo, od dziś Chrome jest już dostępny z nową wersją Flasha, jeśli więc nie restartowaliście przeglądarki od jakiegoś czasu, warto to dziś zrobić. Najlepiej teraz!

PS. Mateusz, Gyn, świetna robota! Gratulujemy!

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Jak widać “Polak Potrafi”.

    • Tylko jeden?

  2. pierwsza myśl …. a czy DEP w takich przypadkach nie ratuje skóry?

  3. Eh, podalibyście chociaż troche więcej prawdy, jak choćby to, że adobe reader to taka krowa, że tylko masochiści go używają. Jest mnóstwo alternatywnych czytników PDF, ja polecam genialny polski produkt – sumatrapdf.

    • Jakby gwałcić Sumatrę przez kilka tygodni armią 1.500 rdzeni, to pewnie parę bugów by się znalazło.

      BTW: też używam sumatrypdf i instaluję z rekomendacji wszędzie gdzie się da.

    • Tak, tylko ,że ta krowa działa, wolniej lub szybciej ale działa – genialne produkty, które promujesz nie raz potrafiły się wykrzaczyć przy jakimś ambitniejszym .pdfie (taki, który miał więcej niż 2 strony i coś więcej niż sam tekst).

    • @xzt – bzdura. Od lat uzywam PDXa i zero problemow. Uzywanie oryginalnego Acrobata traktuje jako idiotyzm.

  4. Już ktoś kiedyś to robił :)

    http://www.forbes.com/sites/firewall/2010/03/16/researcher-will-expose-20-hackable-apple-flaws/

    “He wrote a simple Python script–just five lines of code–that randomly changes one bit of a PDF or PowerPoint file, plugs the file into the target application to see if it crashes, and then changes another bit, repeatedly tweaking and testing.

    After running his fuzzer program on the applications for 3 weeks each, Miller found nearly a thousand unique ways to make the programs crash”

  5. Jak można zrobić Update na MAC OS X? w sekcji “Check Updates” nie mam nic. Chrome zaktualizowany.

  6. No proszę ciekawy zbieg okoliczności.
    Po tym jak miałem krótką przesiadkę na windowsa i zacząłem się co rusz wkurzać na jakieś czytniki pdfów zacząłem używać w tym celu właśnie google chroma. Szczególnie dlatego, że jak już otwierałem pdfa to strzałka w prawo na powiększonym ekranie ‘przesuwała’ w prawo ekran zamiast przechodzić do następnej strony (zgaduje, że dało się to w tamtych czytnikach przestawić, nie wiem nie sprawdziłem) dzięki czemu wygodnie się czytało przy rozdzielczości mojego netbooka.

    No i tak się przyzwyczaiłem do tego chrome do pdfów, że dosłownie dzisiaj, wróć wczoraj mamy już prawie od czterech godzin następny dzień. Zainstalowałem go na swojej fedorze tylko do pdfów, mimo że okular dobrze się sprawował.

    Otworzyłem tego samego pdfa, a tu taki oto fail
    na chrome
    http://i.imgur.com/4Di9z.png
    na okularze
    http://i.imgur.com/7nW9N.png

    W pierwszej chwili pomyślałem tylko eh pewnie mam coś źle ustawione i dlatego miesiąc temu na win działało a teraz na fedorze nie śmiga. Ale okular działał więc nie chciało mi się myśleć i wyłączyłem.
    Teraz przeczytałem ten artykuł i przez myśl mi przeszło czy aby mi się to rozkraczyło z mojej winy, czy może coś tam szturneli łatając w kodzie.

    Nie chciałby ktoś mnie naprostować jeżeli to z mojej winy, co mogłem zrobić źle że się rozkraczyło?

  7. Dla ciekawostki podam, że jak stworzyłem plik PDF z pionową czcionką to Adobe Reader tego nie wyświetlał (nawet żadnego monitu czy czegokolwiek) mimo, że plik był zgodny ze standardem PDF…
    Evince jakoś problemów nie miał.

  8. To ja może zlinkuję artykuł z bloga Gynvaela Coldwinda na ten temat: http://gynvael.coldwind.pl/?id=483

    • My zalinkowaliśmy go w tekście, który przeczytałeś powyżej już wczoraj, ale linkuj do woli, bo dobry ;)

  9. Gynvael i j00ru to najlepszy duet na swiecie. simple as that ;) gj!

  10. lie dostali za to kasy?

    • Michał, chyba nie zauważyłeś, że oni pracują w Google… A z tego co wiem, Adobe nie ma bug bounty.

  11. A propos PDF, ciekawa prezentacja, niestety dosyć ciężko się ogląda przez natłok “aah” osoby prezentującej:
    http://www.youtube.com/watch?v=54XYqsf4JEY

  12. a sorry nie wiedzialem tak se czasem czytam tylko jan nie mam co w pracy robic

  13. […] to także jedna z technik fuzzingu. Między innymi dzięki niej, dwójka polskich badaczy wygenerowała ostatnio kilkadziesiąt błędów w oprogramowaniu Adobe Acrobat […]

  14. […] odbędzie się CTF organizowane przez polską grupę Dragon Sector, do której należy m.in. Gynvael Coldwind oraz Mateusz j00ru Jurczyk, obaj pracujący obecnie dla Google. (Na marginesie, na dniach na łamach Niebezpiecznika pojawi […]

  15. […] — i tu znów przytoczę projekt autorstwa j00ru i Gyna, który zaowocował znalezieniem kilkudziesięciu poważnych błędów w Adobe Readerze. Na szczęście obaj pracują dla Google, nie NSA …prawda, chłopaki? […]

  16. […] znajdowanych jest dużo błędów — jeśli więc sami nie fuzzujecie swojej aplikacji, ktoś kto to zrobi, ma dużą szansę na odnalezienie w niej wielu błędów. I nie zawsze będzie na tyle […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.