Обнаружены попытки эксплуатации уязвимости в Adobe Reader

image

Теги: Adobe, уязвимость

Злоумышленники используют уязвимость в Adobe Reader для получения неавторизованного доступа к уязвимым системам.

SANS сообщила в своем блоге об обнаружении злонамеренного ПО, эксплуатирующего недавно исправленную уязвимость в Adobe Reader.

Образцы злонамеренного кода, полученные SANS, эксплуатируют уязвимость форматной строки в JavaScript функции "util.printf()". Удаленный атакующий может с помощью специально сформированного PDF файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.

Рабочий эксплоит практически не отличается от PoC кода, предоставленного компанией CORE. В эксплоите используется только первый уровень обфускации с помощью eval(unescape()).

Таким образом, вместо:

var num = 1299999999999999999…
util.printf("%45000f",num);

используется несколько циклов:

var nm = 12;
for(i = 0; i < 18; i++){ nm = nm + "9"; }
for(i = 0; i < 276; i++){ nm = nm + "8"; }
util.printf(unescape(""+"%"+"25%34%35%30%30%30%66"),  nm); 

Судя по всему, первый уровень обфускации был сделан для того, чтобы обойти обнаружение антивирусным ПО. К сожалению, злоумышленники добились в этом успеха. На момент написания новости, по данным VirusTotal, ни один антивирус не считает представленный образец опасным.

SecurityLab рекомендует всем пользователям, использующим Adobe Acrobat или Adobe Reader версий 8.1.2 и ниже, в кратчайшие сроки установить исправление от производителя.


или введите имя

CAPTCHA
Страницы: 1  2  
24275
07-11-2008 23:36:20
peLLIeTo!
0 |
39492
08-11-2008 03:40:53
SecurityLab рекомендует всем пользователям, использующим Adobe Acrobat или Adobe Reader версий 8.1.2 и ниже, в кратчайшие сроки установить исправление от производителя. бог ты мой, какой секлам заботливый а выключить поддержку js в Adobe Acrobat и Adobe Reader он посоветовать не мог?
0 |
tecklord
08-11-2008 13:57:35
Может потому, что отключение Javascript позволяет устранить только 4 из 8 исправленных уязвимостей?
0 |
йцйц
08-11-2008 06:48:04
А мне пох, у меня Foxit Reader. Фига какое число - 66646
0 |
asdf
08-11-2008 09:55:23
чувак, у меня тоже
0 |
08-11-2008 10:41:04
А у меня xpdf.
0 |
08-11-2008 11:32:02
Внесу свои пять копеек, у меня Okular.
0 |
vasya pupkin
08-11-2008 23:55:59
ну и дятлы. adobe рулит
0 |
фетиш-мастер [Малиновые штаны]
10-11-2008 15:10:22
я тоже нормальный пацан
0 |
луноход
09-11-2008 00:24:40
И я свои 5 коп.: у меня evince
0 |
159932
09-11-2008 01:44:08
херня это всё .. я вообще не читаю pdf'ки ..
0 |
09-11-2008 11:20:22
ты вообще не читаешь?
0 |
злой
10-11-2008 11:38:05
зато он компакт-диски без привода читает
0 |
екуцй
09-11-2008 09:12:08
+1 foxreader
0 |
qqqq
09-11-2008 12:02:19
а у меня акробат сам обновился и не спрашивал никого 94333
0 |
09-11-2008 15:28:45
ну и лупень а если в твоей конторе весь софт будет обновляться постоянно сам по себе за трафик ты будешь платить а если злобные хацкеры будут под видом обновлений всяких троянов впиндюривать - ты такжк будешь продолжать сидеть и смотреть на этот отстой Пользуйте альтернативный софт (не самый популярный) и на всякие уязвимости можно уже положить толстый и большой и жить спокойно
0 |
G
10-11-2008 08:55:26
"Обнаружены попытки эксплуатации уязвимости в Adobe Reader" нет такой программы. Тавтология
0 |
Страницы: 1  2