На свободе эксплойт для уязвимости PDF

image

Теги: уязвимость, PDF, Adobe, Symantec, спам, Windows XP, Windows Server 2003

Вредоносный документ PDF, использующий баги в программном обеспечении Adobe Systems Reader и Acrobat, выпущен на волю, сообщила компания Symantec во вторник — спустя всего несколько часов после того, как Adobe предложила исправления для своих программ.

Вредоносный документ PDF, использующий баги в программном обеспечении Adobe Systems Reader и Acrobat, выпущен на волю, сообщила компания Symantec во вторник — спустя всего несколько часов после того, как Adobe предложила исправления для своих программ.

«Эта массовая рассылка файлов эксплойта может быть попыткой использовать промежуток времени между выпуском патча и его повсеместной установкой», — пишет Symantec в предупреждении для клиентов своей информационной сети DeepSight. Вредоносный документ PDF вложен в спамерское письмо и носит имя YOUR_BILL.pdf или INVOICE.pdf. Он использует уязвимость протокола mailto:, выявленную более месяца назад британским исследователем Петко Петковым.

В понедельник Adobe исправила ошибку и выпустила обновленные редакции Reader и Acrobat. Пользователям более ранних версий популярных программ предлагается либо перейти на 8.1.1, либо применить одно из временных решений, предложенных Adobe для отражения атак. В понедельник Adobe пообещала обновить Adobe Reader 7.0.9 и Acrobat 7.0.9, но конкретные сроки не назвала.

Когда получатель открывает файл PDF, тот запускает троянского коня с именем Pidief.a, который отключает межсетевой экран Windows и загружает в компьютер другую программу. Это специальный загрузчик, способный извлекать файлы из удаленного сервера и внедрять их в зараженный ПК по команде хозяина. «Этот сервер все еще работает и продолжает обслуживать загрузчик через FTP», — предупредила Symantec во вторник утром, добавив, что сервер представляет собой хорошо известное место хостинга вредоносного ПО.

Хотя Adobe исправила последние версии Reader и Acrobat, на самом деле уязвимость лежит на совести Microsoft, которая призналась в этом две недели назад, пообещав исправить в Windows XP и Windows Server 2003 блоки управления такими общеупотребительными протоколами, как mailto:. Эксплойт PDF опасен только для пользователей браузера Internet Explorer 7 на системах XP или Windows Server 2003. Symantec рекомендует «как можно быстрее применить патчи, предложенные в Adobe Advisory APSB07-18».


или введите имя

CAPTCHA
1
25-10-2007 15:07:37
Вредоносный документ PDF выпущен Adobe.
0 |
1
25-10-2007 15:22:34
пофик. foxit reader уязвимости не подвержен. а xpdf - тем более
0 |
25-10-2007 16:27:11
+1 поддерживаю, юзаю их проблем нет
0 |
1
25-10-2007 18:27:54
не все их могут юзать на моей прошлой работе вот придет так откуда-нить материал в последнем ридере сделанный и фиг ты его в фоксите откроеш
0 |
1
25-10-2007 18:38:42
В "последнем ридере" сделать какой-либо материал крайне затруднительно, вообще-то Ибо он не "врайтер".
0 |
1
26-10-2007 11:43:28
мда.. я имелл введу последний акробатт - каюсь
0 |
1
25-10-2007 16:53:44
+1
0 |
1
25-10-2007 17:11:56
Все от того что разработчики Adobe распыляются - портируют свой Reader под всякие пингвинятские недосистемы. Лучше бы сконцентрировали усилия и сделали бы действительно качественный продукт под Windows Windows обгоняет Linux
0 |
1
25-10-2007 17:48:46
http://www.securitylab.ru/news/268410.php
0 |
1
25-10-2007 18:42:35
Уж в Microsoft ребята знают что делают. Раз решили избавиться от PDF, то туда ему и дорога. У Adobe Systems судилка недоросла с Microsoft судиться. А формат XPS в любом случае лучше, хотя бы потому что делают его настоящие проффесионалы своего дела, до которых Adobовцам еще расти и расти. Windows обгоняет Linux
0 |
1
25-10-2007 22:38:29
Ты не болтай, ты бейся
0 |
1
25-10-2007 17:49:43
а ты не пробовал это самим Adobe писать? что? * послали? бедненький. ну не переживай, мы тебя поддерживаем
0 |
1
25-10-2007 18:39:30
"Поддерживаем" - это готовы пойти * вместе с ним? ))
0 |
1
25-10-2007 20:30:29
> Все от того что разработчики Adobe распыляются - портируют свой Reader под всякие пингвинятские недосистемы. Лучше бы сконцентрировали усилия и сделали бы действительно качественный продукт под Windows Windows обгоняет Linux Совершенно с вами согласен, коллега. Windows обгоняет Linux по числу вирусов, червей и руткитов, по количеству костылей для чистки реестра, дефрагментации и отлову вирусов, по количеству remote root дырок и 0day дырок, по степени анекдотичности багов(ani, messagebox, файлы в корне диска), по системным требованиям к железу, по степени непортируемости архитектуры и технологий(.NET, ActiveX, COM), по уровню ограничения пользователей DRM-ом, по скорости выбрасывания технологий, переписывания ядер с нуля и уровню закрытости кода, форматов и протоколов.
0 |
1
25-10-2007 22:14:04
Вообще-то, большинство взломанных серваков в инете стоят на Linux, это о чем-нибудь говорит?
0 |
1
25-10-2007 22:16:26
Ага. Ты тролль, потому что не дал ни статистики, ни ссылок. Песди в другом месте, мудло.
0 |
1
25-10-2007 23:36:37
Это говорит что в мире мало экстрималов выводящих вин серваки в инет, в том числе и сама мс. В любом коде могут быть ошибки, другое дело что это за ошибки и как быстро они исправляются.Вспомним мсбласт, 2-года корпорация знала о существовании данной дыры, и ни чего не предпринимала до момента пока не разразилась эпидемия. Каждые пару месяцев в самой операционке находят пару критичных уязвимостей. И при этом они спокойно говорят:"Ой блин, сорри, забыли.. ну не чего страшного через недельку сваяем патик и дело будет замятно" причем нет ни каких горнатий что после этого патча система не станет еще более дырявая, если вообще не слетит (о чем опять же сама МС и предпреждает, что типа тестируйте сначало на эксперементально машинке а потом уже устанавливайте).Никсы ломают они только еще защищеннее становятся, в случаи с мс такое ощущение что в лоб что по лбу.
0 |
1
25-10-2007 23:37:49
Блин купился, сначало написал а только потом ник прочел
0 |
1
26-10-2007 01:25:03
Про мсбласт ты фигню сказал, хотя понятно почему - уровень знаний практически всех здешних "гуру флейма" остается на показателе ОБС. так вот, специально для тебя, просто факт - уязвимость в DCOM RPC была запатчена МС 26 июля 2003 года. Мсбласт появился 12 августа 2003 года.
0 |
1
26-10-2007 02:13:55
> Вообще-то, большинство взломанных серваков в инете стоят на Linux, это о чем-нибудь говорит? О существовании ламеров, которые пишут бажные PHP-скрипты и о популярности Linux на вебсерверах. Любой чайник знает, что взлом дырявого скрипта или подбор пароля 123 не свидетельствует о дырявости ОС, а свидетствует о некачественной прокладке между стулом и клавиатурой. А вот взломанные KAHT-ом, обычными червяками, Webdaw-червяками, SQL-червяками и вирусами Windows-компьютеры свидетельствуют не только о некачественной прокладке, которая не установила хотфикс, но и о дырявости самой Windows, которая и пять лет назад взламывалась через IE и RPC(DCOM,Locator,Workstation) и до сих пор взламывается через IE и RPC(DNS-RPC в Win2003 до SP2 включительно).
0 |
1
26-10-2007 11:16:33
> я думаю если бы linux-у уделили такое же внимание ... как и Windows результат не стоило бы долго ждать... Я думаю что более распространенному на Интернет-серверах Linux-у итак уделяют значительно большее внимание, чем малораспространенному на серверах закрытому Windows. Круглосуточно работающий сервер предоставляющий публичные сервисы по определению вызывает больше интереса, чем домашнее изредка включаемое корыто на 256-килобитном DSL-е с персональным файрволом. К тому же для поиска багов закрытом коде необходимо мучиться с дизассемблером или пытаться найти уязвимость методом тыка, в то время как открытый код можно взять и без зарывания в asm-листинги и без шаманских методов "пошлем что-то и посмотрим что получится" проанализировать на корректность вручную встроенным в голове дебаггером или средствами автоматизированного поиска уязвимостей. Поэтому открытый код привлекает себе гораздо больше внимания, чем закрытый код. > я думаю если бы linux-у уделили такое же внимание ... как и Windows результат не стоило бы долго ждать... самый банальный пример это сколько человек исследуют на уязвимость PHP вы можете сами взглянуть сколько их находят при том что php open source продукт .... А как посмотреть сколько человек исследуют на уязвимости Windows? > http://bugs.php.net/ Увлекательное чтиво про внутреннюю кухню. По закрытым продуктам такая информация недоступна. В Windows до сих пор не устранено переполнение в GetTempPathA, некорректная работа RealTimeIsUniversal(http://www.cl.cam.ac.uk/~mgk25/mswish/ut-rtc.html), четвертый месяц не закрыта дыра в ShellExec. Никому просто нет дела до такой ерунды. А у PHP или любого другого открытого ПО баги честно красовались бы в багзилле, а у закрытого ПО подобных багов как бы нет. Открытое ПО практикует открытый подход в разработке: код открыт, информация о багах открыта, любой специалист может посмотреть код и сделать для себя выводы по качеству программы. Закрытое ПО скрывает код, скрывает баги, скрывает информацию о багах и очень медленно и неохотно устраняет уязвимости. > любой более мение профессиональный безопасник понимает что всё относительно используя к примеру решение которое мение распространено оно более мение защищено от скрипткидесов Ой не факт. Именно в малораспространенном ПО чаще всего находят детские уязвимости - переполнения в passwd, LD_PRELOAD в su, права 755 на core, классические переполнения стека и смешные баги в самопальных SUID-никах: bash-2.01$ cd /var/tmp/.tmp cd /var/tmp/.tmp bash-2.01$ cat setuid.c cat setuid.c #include <stdio.h> int main() {   setreuid(0,0);   system("/bin/bash");   return 0; } bash-2.01$ gcc setuid.c -o main.cgi gcc setuid.c -o main.cgi bash-2.01$ export REMOTE_USER=root export REMOTE_USER=root bash-2.01$ /usr/lib/cgi-bin/stats/xxxxx/gateway.cgi /usr/lib/cgi-bin/stats/xxxxx/gateway.cgi id uid=0(root) gid=33(www-data) groups=33(www-data),3501(gwak) При получении доступа к такому ПО человека, который умеет пользоваться objdump -d и IDA, вся эта "безопасность", в которую верят бумажные безопасники-теоретики, складывается как карточный домик. > однако это не потому что продукт такой хороший а по тому что ему не уделяют внимание так что если злоумышленник фазинг методами проверит продукт и найдет там уязвимость и напишет exploit .... то вы наверняка пострадаете .... Вот именно поэтому безопасность закрытого кода дутая и основывается на том, что глубоко копать дизассемблером мало кто будет, а если будет - то может быть ничего не найдет. > С другой стороны решение которое сильно распространено ... тестируется различными людьми в полном обёме .... и бывает что появляются в публичном пользовании exploit-ы .... Для закрытого ПО, которое не тестируется различными людьми в полном объеме также появляются публичные эксплоиты, иногда в публичный доступ попадают эксплоиты на незаделанные дыры: WMF 0day, ShellExec 0day... > Я вообще считаю спор какой продукт лучше MS <-> Linux бессмысленен по выше описанной проблеме.... А я считаю что закрытый код - это закрытый в мешке кот. > обычно о таких вещах спорят обыкновенные сисадмины и пользователи и скрипткидесы тем самым показывают своё незнание проблемы и темы в целом.... Бывает и такое, что спорят безопасники, знающие как оценивать риски и слышавшие где-то рецепт безопасности "использовать малораспространенное ПО" с теми, кто знает как писать эксплоиты и взламывал дырявое малораспространенное ПО за десять минут.
0 |
1
26-10-2007 11:33:39
Вы, кстати пройдите по ссылке bugs.php.net. ID# Date Type Status Version OS Summary Assigned 1 (edit) 1998-01-25 11:06:03 Performance problem Closed 3.0b3 Solaris 2.5.1 Apache 1.3b3 + mod_php3 is slow 2 (edit) 1998-01-25 17:23:29 Compile Failure Closed 3.0 Latest CVS Debian 1.3/Linux 2.0.29 hash_environment 3 (edit) 1998-01-25 19:37:50 Compile Failure Closed 3.0b3 SunOS 4.1.4 extern for errno missing in debugger.c 4 (edit) 1998-01-25 19:40:43 Compile Failure Closed 3.0b3 HP/UX 9.04 LOG_NEWS, LOG_UUCP undeclared 5 (edit) 1998-01-25 19:46:13 Compile Failure Closed 3.0b3 SunOS 4.1.4 fclose in php3_minit_file undeclared 6 (edit) 1998-01-26 16:09:07 Oracle related Closed 3.0b3 Solaris Cannot connect to remote Oracle machine 7 (edit) 1998-01-26 17:00:02 Compile Failure Closed 3.0 Latest CVS Linux 2.0.33 (Redhat 5.0) apache 1.3b3 fails to compile with php3 module 8 (edit) 1998-01-26 17:47:14 Other Closed 3.0 Latest CVS WinNT Server 4.0 PHP.NET Show Source Error 9 (edit) 1998-01-26 18:29:54 Other Closed 3.0 Latest CVS Linux 2.0.33 / Intel P2/233 error using split function 10 (edit) 1998-01-26 18:31:02 Other Closed 3.0b3 WinNT 4.0 formencode/formdecode Здесь сведены вместе ошибки сборки еще не вышедшего CVS-кода(!) проблемы бетаверсии, проблемы сборки бетаверсии и cvs на определенных платформах, которых в отличие от кода от MS - больше одной, баги. Проприетарщики такую информацию вообще не открывают - вроде как и нет никаких проблем, есть только хотфиксы.
0 |
1
26-10-2007 12:17:54
я че-т не понил.. а как в случае открытого кода такую инфу скрыть?
0 |
1
26-10-2007 15:37:11
> я че-т не понил.. а как в случае открытого кода такую инфу скрыть? Можно не открывать багзиллу и cvsview, тогда у любого посетившего сайт может создаться ошибочное впечатление, что в программе нет ошибок - выходят только новые версии с новыми фичами. В то время как PHP трещит от багов. При этом мало кто обращает внимание на теги b3 и CVS. И не каждый пользователь делает diff-ы исходников и читает ченджлоги из тарбола... Разработчики открытого кода не скрывают ни код ни проблемы, в то время как разработчики закрытого кода скрывают и то и другое пытаются казаться лучше чем они есть и создавая видимость идеально отлаженной программы, которая может содержать массу конструктивных просчетов, ошибок и незакрытых уязвимостей. Не люблю когда меня пытаются обмануть, поэтому не верю закрытому коду.
0 |
1
26-10-2007 11:29:23
Windows обгоняет LinuxПо количеству открытых багов. По количеству вирусов Ну и по количеству лемингов.
0 |
1
27-10-2007 02:46:25
смешно то, что линуксоненавистники опять подняли гвалт о том какая виндупс белая и пушистая (а остальное, мол, гэ голимое). самое забавное что никто из них не обратил внимания на то, что эксплойт работает только в виндовс и нигде более. мало того, прямым текстом написано что на самом деле уязвимость лежит на совести Microsoft, которая призналась в этом две недели назад. в линукс ридер (прям как та батарейка из рекламы) "работает и работает". так что братцы-виндузята незачем на зеркало пенять коль рожей не вышел. adobe уже предложили исправление (в том числе и временное, посредством редактирования реестра, пока ламерята-виндузята сами не соизволят оторваться от любимых игр и др. подобных оным "важных дел" и обновиться). об этом см. здесь. так что нечего здесь флейм разводить.
0 |