Nova ranjivost u Adobe Reader-u

Vesti, 03.04.2010, 16:10 PM

Nastavlja se otkrivanje i (na žalost) uspešno iskorišćavanje ranjivosti u najpoznatijem proizvodu Adobe-a - Acrobat Reader.

Pre nekoliko dana dobili smo zanimljiv PDF fajl (detektovan kao Exploit.JS.Pdfka.bui ) koji je sadržao 'exploit' za CVE-2010-0188 ranjivost, koja je prvobitno bila otkrivena u februaru i to u Acrobat/Reader verziji 9.3 i starijim.

Prvo što upada u oči je namerno izmenjena TIFF slika unutar PDF fajla.

Ranjivost - 'buffer overflow' (prekoračenje kapaciteta memorije) - se manifestuje kada se pristupi delu u kojem je slika. Napad se izvodi korišćenjem tehnike 'heap spraying', metode koja se primenjuje u slučaju mnogih 'exploit'-a na proizvodima koji rade pod JavaScript kodom, a kao primer možemo navesti nedavni napad Aurora gde se upravo ova tehnika koristila.

Ako je gore spomenuta ranjivost uspešno iskorišćena, povratna adresa je prepisana prethodno definisanom adresom 0xC0C0C0C0. To je mesto sa kojeg cyber-kriminalci pokreću svoj štetni kod.

Posle ovoga, izvršavanje ide na adresu koja sadrži 'shellcode', koji u početku dešifruje svoje telo a zatim izvršni fajl, koji je takođe umetnut u orginalni PDF fajl.

Dešifrovani izvršni fajl (detektovan kao Backdoor.Win32.Agent.aqoj) je se najpore smesti u direktorijum C:\, a zatim biva pokrenut. Njegova svrha je da šalje podatke o zaraženom kompjuteru udaljenom serveru i download-uje druge štetne fajlove na zaraženi kompjuter.

Adobe je brzo reagovao objavljivanjem ažuriranja za pogođene proizvode. Međutim, to neće odvratiti cyber-kriminalce zbog toga što, kao što dosadašnje iskustvo pokazuje, korisnici ne žure mnogo da ažuriraju svoje računare tako da loši momci neće oklevati da iskoriste tu činjenicu. Shodno svemu rečenom, naše su preporuke da instalirate poslednji update za Acrobat Reader.

Izvor: http://www.viruslist.com/en/weblog?discuss=208188027&return=1


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

40 lažnih ekstenzija za Firefox krade kriptovalute korisnika

Istraživači sajber bezbednosti iz kompanije Koi Security otkrili su više od 40 ekstenzija za Mozilla Firefox koje kradu privatne ključeve i seed f... Dalje

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Budite oprezni: veštačka inteligencija ponekad izmišlja i može vas poslati na lažni veb sajt

Bezbednosni istraživači otkrili su ozbiljan rizik u radu velikih jezičkih modela (LLM), poput popularnih AI asistenata. Naime, kada ih pitate jedno... Dalje

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Ažurirajte Chrome odmah: Hakeri koriste ranjivost u veb pregledaču

Google je objavio hitna bezbednosna ažuriranja za Chrome kako bi rešio ozbiljnu ranjivost koja se već zloupotrebljava u napadima. Ovaj „zero-... Dalje

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Kada sajber kriminal ubija: Bolnice na udaru ransomware-a

Do skoro, sajber kriminal se uglavnom svodio na krađu podataka ili novca. Ali dva napada ransomware-a na evropske bolnice pokazuju da sajber kriminal... Dalje

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje