22:12
7/11/2012

Adobe informuje iż przygląda się doniesieniom dotyczącym exploita na nieznaną do tej pory dziurę w Acrobat Readerze X (10) i XI (11). Sprawa jest o tyle poważna, że exploit ma podobno możliwość ominięcia wbudowanego w czytnik sandboksa…

Adobe

Adobe

0day na Adobe Acrobat Reader

O exploicie poinformowali Rosjanie z Group-IB. Twierdzą oni, że jest on sprzedawany za 50 000 dolarów. Cena wysoka, ale i osiągnięcie wielkie — do tej pory nie istniał udokumentowany przypadek ominięcia “piaskownicy” wbudowanej w Acrobat Readera.

Exploit ma na szczęście pewne ograniczenia. Jak mówi Kamarov z Gruop-IB w wywiadzie dla Briana Krebsa, exploit zadziała dopiero jeśli ofiara zamknie swoją przeglądarkę lub czytnik PDF-ów. Dodatkowo, na chwilę obecną potwierdzono tylko ataki na użytkowników system Windows.

Group-IB twierdzi, że exploit jest już wbudowany w najnowszą wersję wykorzystywanego przez atakujących frameworka Blackhole Exploit Kit.

Co robić, jak żyć?

Wszystkim użytkownikom Acrobat Readera radzimy porzucenie/odinstalowanie tego oprogramowania do czasu wydania łatki przez Adobe. Istnieje wiele alternatyw, np. Foxit Reader — lub webowe przeglądarki PDF.

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. “webowe przeglądarki PDF.”
    Po pierwsze zły link, po drugie od podlinkowanej chyba lepsze Google Docs: https://docs.google.com/viewer?hl=pl

  2. Na szczęście podstawowa wersja przeglądarki plików PDF wbudowana jest w Chrome’a.

  3. Trzeba w końcu wgrać tego linuxa :)

    • Co ma Linux do wiatraka? :)
      Ja osobiście polecam na Windowsa czytnik SumatraPDF:
      http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

      Same zalety – “produkt polski”, lekki, nie zżera pamięci jak mały smok, dysku też nie, ma tylko to, co potrzebne (i pluginy do przeglądarek) i jeszcze nie widziałem jakiegoś większego exploita na niego.

    • @Skrzyp brak oprogramowania = brak wirusów

    • Ano ma . I to sporo. Windows jest dziurawy jak ser szwajcarski.
      Nie dorównuje poziomowi zabezpieczeń linuksa.
      No ale to wymaga wiedzy. A windows samego klikania.

    • Skrzyp: Słusznie mówisz. Nie widziałeś żadnego eksploita do Sumatry. Ja też nie, moi sąsiedzi również, ani nawet pani w kiosku. Ale… Nie znaczy to, że takiego nie ma ;) Ani, że wkrótce nie będzie. To samo dotyczy innych programów.
      Wgraj Linuksa :) Na przykład do maszyny wirtualnej. Do wiatraka ma to, że czasem możesz nieznany dokument otworzyć pod tym systemem i zmniejszysz szanse atakującego. Łatwo nam jest dyskutować o wyborze programu do pdfów dla samego siebie. A co zrobić w korporacjach? Dzisiaj ogłosimy, że używamy Sumatry. Za miesiąc okaże się iż ma jakiś błąd, trzeba będzie polecić inny program i tak w kółko. Taki eksploit jest tym bardziej kłopotliwy właśnie z tego powodu. Jeśli chodzą po 50000$, to co za problem dla dobrze opłacanej grupy zdobyć coś takiego i wykorzystać przeciwko jakiejś firmie?

    • @Skrzyp
      Niszowość nie gwarantuje bezpieczeństwa. W pewien sposób chroni przed atakami na masową skale, ale z uwagi na fakt, że nad bezpieczeństwem niszowego produktu nie czuwa sztab ludzi – to zwiększa zagrożenie w przypadku ataku skoncentrowanego na pojedynczym celu.

      Am I right or am i right?

    • “Am I right or am i right?”

      Neither. Niszowość produktu owszem, chroni tylko przed atakami masowymi (herd immunity tak zwany). Ale co do ataków jednostkowych, toż to właśnie w Linuxie mamy sztab ludzi zajmujących się łataniem dziur i zabezpieczeniami; do tego takich, którzy robią to dla czystej frajdy = bardziej ich obchodzi porządnie wykonana robota niż kolesia przeklinającego na swoją robotę w czterech gipsowych ściankach o powierzchni 3 metrów kwadratowych.

  4. Dlatego od dawna korzystam z zamienników tego programu – aktualnie z Sumatra PDF.
    W tym przypadku obowiązuje identyczna zasada jak na Linuxie: mniejsza popularność = większe bezpieczeństwo (dlatego warto zmienić oprogramowanie) :)

    • Dokładnie – im bardziej egzotyczne tym lepsze ( nie zawsze ) ale w większości przypadków sie to sprawdza.

    • a kto by cie bratku chcial shackowac ze takiego programosa uzywasz?

  5. Pytanie może głupie ale czy exploit zadziała również w przypadku gdy Reader uruchamiany jest z pomocą EMET?

    • Moim zdaniem nie jest głupie :) Chociaż być może twórcy eksploita i to przewidzieli (bo jest do obejścia).

  6. Acrobata Pro X też się tyczy?

  7. Swoją drogą zastanawia mnie pewna kwestia: Acrobat Reader jest – jakby nie było – programem, który ma tylko otworzyć dokument, wyświetlić dokument i ewentualnie wysłać do drukarki. Czy do tego trzeba aplikacji ważącej prawie 40MB, sandboksów i cholera wie co jeszcze? Czekam chwili gdy MSPaint będzie wymagał 16GB RAM i DX12 :-\

    • Tak, ze względu na architekturę formatu PDF i jego możliwości.

    • Architektura architekturą, niemniej dalej pojąć nie mogę po co tyle balastu. Z tego co pamiętam ~60MB zajmowała cała instalacja Office 2002 (W+E+PP+dodatki). Fakt że sprzed dobrych paru lat, tyle że teraz mnie nie dziwi, że wśród 40MB kodu AR znajdują się takie kwiatki :-)

    • Fakt faktem waży to sporo, ale zobacz ile do tego masz dodanych funkcji, wyglądów, styli obrazków i innych pięknych dupereli.

  8. Proszę nie polecać foxit reader, który jest badziewiem z reklamami. Najlepszą chyba aplikacją do pdf (i darmową) jest napisana przez Polaka sumatra pdf: http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

    • Reklamę w foxit można wyłączyć, chyba że coś ostatnio zmieniali.

    • typowa odpowiedź gimbusa “tamto syf a to super”, uzywam foxita od wielu lat i nie ma tam reklam

    • Używałem Foxit’a od wersji… 2.x. Ostatnio zrobili jakiś tryb dla widzacych inaczej, ikony rozmiaru słonia i karty 3x wyższe niż tekst – idzie to wyłączyć? A co do Sumatry – czy dalej żre 2GB RAMu gdy otworzyć nim 200MB layered PDF?

  9. A to nie jest przypadkiem już od jakiegoś czasu Adobe Reader bez Acrobaty?

  10. Podajcie linka do PDFa, antarez.com cos nie dziala.

  11. “do tej pory nie istniał udokumentowany przypadek ominięcia “piaskownicy” wbudowanej w Acrobat Readera.”

    Exploity odpalające kalkulator krążyły po sieci już kilka lat temu. Pamiętam jeszcze z papierowej prasy komputerowej. :D

    • Kilka lat temu AR nie miał piaskownicy…

  12. A skąd pewność, że SumatraPDF nie ma poważnych luk?

  13. Problem z alternatywami jest taki że obsługują format PDF tylko częściowo. Przykładem były interaktywne drugi dostępne na stronach rządowych (ani Foxit, ani Google Docs ani domyślna przeglądarka w Ubuntu – jakby się ona nie nazywała nie chciały ich otworzyć) więc czekamy na reakcję Adobe.

  14. Czy monitory hips ( http://www.searchengines.pl/Monitory-HIPS-blokery-behawioralne-t78431.html ) tez sa slepe na tego exploita?

  15. Sumatra. Małe – lekkie i szybkie a do tego rodzime. http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader.html

    • Sumatra w porządku pod warunkiem że tylko czytasz PDF. Osobiście od niedawna używam Nitro i szczerze polecam zaawansowanym.

  16. To ktoś jeszcze używa tego dziurawego badziewia zwanego Adobe Reader?

  17. Pytanie odnośnie tekstu: “radzimy porzucenie/odinstalowanie tego oprogramowania”
    Czy mogę zainstalować Foxita albo Sumatrę, ustawić ten program jako domyślny dla .pdf i nie odinstalowywać Adobe Reader’a ?

    • Tak, prawym na plik > właściwości > otwórz przez (czy coś w tym stylu) i wybierz sobie program.

  18. Niestety zdarza się, że czytamy PDF otwieranego na hasło za pomocą specjalnej aplikacji kompatybilnej tylko z Adobe Readerem. Np e-prenumerata PC World Komputer jest wysyłana w postaci linków do ściągania PDF zabezpieczanego hasłem. Można go otworzyć tylko pluginem FileOpen Plugin współpracującym jedynie z Adobe Readerem http://plugin.fileopen.com/all.aspx.

  19. Oprócz Sumatry moge polecić jeszcz X-change Viewer, naprawdę dobry czytnik PDF.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.