Video: Demonstrating CVE-2020-9715: A Use After Free Bug in Adobe Reader (Oktober 2024)
Adobe lovet en løsning for det kritiske nulldagers sårbarheten som nå utnyttes i naturen, vil være tilgjengelig en gang denne uken.
Oppdateringer for Windows og Mac OS X-versjoner av Adobe Reader og Acrobat XI (11.0.01 og tidligere), X (10.1.5 og tidligere) og 9.x (9.5.3 og tidligere) vil være tilgjengelige i løpet av uka februar 18, sa Adobe i sin sikkerhetsrådgivning sent på lørdag kveld. Oppdateringer for Reader 9.5.3 og tidligere for Linux vil også være tilgjengelige, sier selskapet. De nye versjonene vil lukke to kritiske sårbarheter i minnekorrupsjonen som for tiden blir utnyttet i naturen.
Sikkerhetsfirmaet FireEye oppdaget booby-fanget PDF-dokumenter innebygd med svært tilslørt JavaScript og sendt som e-postvedlegg tidligere denne måneden. Når offeret åpner PDF-dokumentet, laster ned skadelig programvare to DLL-filer. Den ene viser en falsk feilmelding og åpner et rent PDF-dokument, mens den andre slipper en "tilbakeringingskomponent" som kommuniserer med en ekstern server, sa FireEye.
"Adobe er klar over rapporter om at disse sårbarhetene blir utnyttet i naturen i målrettede angrep designet for å lure Windows-brukere til å klikke på en ondsinnet PDF-fil levert i en e-postmelding, " sa selskapet forrige uke.
Sandkasseteknologien som Adobe introduserte i Reader X for mer enn to år siden, var designet slik at selv om angripere utnyttet en feil i programvaren, ville den ondsinnede koden ikke kunne få tilgang til andre deler av datamaskinen. Dette siste angrepet er det første som lykkes med å omgå forsvaret.
At angripere klarte å bryte ut av sandkassen, er en "påminnelse om at kjeltringene ikke bare gir opp når du hever stolpen, " skrev Paul Ducklin fra Sophos til Naked Security.
Slå på "Beskyttet visning"
Den nyere Reader XI har en funksjon som blokkerer angrepet, men det er ikke aktivert som standard.
Onsdag oppfordret Adobe brukere til å slå på "Protected View" i Reader for å forhindre at det nåværende angrepet lykkes. Administratorer kan aktivere Protected View for alle Windows-maskiner i hele organisasjonen samtidig, eller brukere kan slå på innstillingen manuelt for sine egne datamaskiner.
For å slå på "Beskyttet visning", gå til Rediger> Innstillinger> Sikkerhet (utvidet) og merk deretter av i ruten ved siden av "Filer fra potensielt usikre steder." Du kan også sjekke alternativet "Alle filer".
Protected View er forskjellig fra Protected Mode, den innebygde sandkasseteknologien. Protected Mode begrenser hvilken ondsinnet kode som kan kjøres eller får tilgang til på datamaskinen. Den nye Protected View, introdusert i Reader XI, tilbyr et eget skrivebordslag og kan blokkere angrep som skjermskraping, ifølge Adobe. Under dette sterkt begrensede miljøet er mange av Reader-funksjonene deaktivert.
For å holde deg trygg...
Det er viktig å være veldig forsiktig med å åpne e-postvedlegg. Hvis du ikke har noen gyldig grunn til å motta vedlegg fra folk du ikke kjenner, må du ikke åpne vedlegg fra fremmede. Det spiller ingen rolle hvor interessant du synes emnet er.
Angriperne tar seg tid til å lage e-post og ondsinnede vedlegg som samsvarer med arbeidet (kanskje det er pyntet som en konferanseinvitasjon eller en artikkel om noe som skjer i bransjen) eller med dine interesser. Likevel, "et vedlegg sendt i et målrettet angrep er vanligvis uoppfordret eller uventet. Hvis du er i tvil, la det være ute!" Sa Ducklin.
Hvis noen du kjenner sender et vedlegg, må du sørge for at det er noe du forventer. Send et notat tilbake eller ring en telefon for å bekrefte at avsenderen faktisk sendte den. En unse forebygging og alt det der.
Slå på beskyttet visning hvis du kjører Reader eller Acrobat XI. Hvis du ikke kjører den nyeste versjonen, kan du vurdere å ta deg tid til å oppgradere slik at du kan dra nytte av de nye sikkerhetsfunksjonene. Når Adobe slipper den neste versjonen, må du oppdatere umiddelbart.
Hvis du vil bytte til å bruke alternative applikasjoner, er det også et alternativ. Mens FoxIt Reader har sine egne sikkerhetsproblemer, angripes ikke verktøyet så ofte på grunn av dets relativt små brukerbase. Mac OS X-brukere kan også bruke forhåndsvisningsprogrammet som er innebygd i operativsystemet.
