Adobe haast zich met noodpatches voor 0-day lek
Gepubliceerd: Woensdag 16 maart 2011
Auteur: Jasper Bakker
Flash, Adobe Reader en Acrobat krijgen volgende week noodpatches voor gaten waar malwaremakers al op inspringen. De nieuwste Reader-versie krijgt geen noodpatch.
Versie 10 van Adobe's pdf-leessoftware krijgt geen noodpatch voor het kritieke beveiligingslek. Reader X heeft namelijk een ingebouwde isolatie (sandbox) die misbruik van dit beveiligingslek voorkomt. Security-directeur Brad Arkin van Adobe legt dit uit in een blogpost over de nieuwe lekken, die kwaadwillenden al gebruiken om gerichte aanvallen te ondernemen.
Via Flash
Het gaat eigenlijk om één lek, dat in Flash zit maar ook aanwezig is in Reader. Adobe bevestigt dat het gat actief wordt misbruikt, maar stelt dat het om gerichte aanvallen van beperkte aard gaat op een zeer klein aantal organisaties. "De huidige aanval gebruikt een kwaadaardig Flash-bestand (.swf) dat is ingebed in een Microsoft Excel-bestand (.xls)", blogt Arkin.
Het .xls-bestand dient dan om een bepaald geheugendeel op de pc van het slachtoffer te claimen, legt hij uit. Dat geheugendeel is bruikbaar voor de eigenlijke malware na de applicatiecrash die is veroorzaakt door het malafide Flash-bestand. "De laatste stap is het installeren van blijvende (persistent) malware op de computer van het slachtoffer."
Noodpatches
Adobe verklaart dat het geen meldingen heeft ontvangen van deze aanval waarbij het Flash-lek wordt uitgebuit via PDF-bestanden. Dat behoort wel tot de mogelijkheden. Het is in het verleden ook gedaan met soortgelijke kwetsbaarheden in de Flash Player, erkent het bedrijf. Om het zekere voor het onzekere te nemen, komt Adobe met noodpatches voor Adobe Reader en voor PDF-maker Acrobat.
Die noodpatches, vallend buiten de reguliere patchcyclus die het bedrijf hanteert, moeten komende week al uitkomen. Adobe patcht dan alleen versie 9 van zijn PDF-software. De nieuwste versie 10 (met een Romeinse X) is minder kwetsbaar doordat het een ingebouwde sandbox heeft die succesvolle exploits aan banden legt.
Gewone patch
Die Protected Mode "is ontworpen om het type exploit tegen te houden dat we nu zien in de .swf/.xls-aanval. Zelfs als een aanvaller de overgang weet te maken naar een .pdf-container voor de exploit, dan voorkomt de sandbox de laatste stap van malware-installatie op de computer van het slachtoffer."
Reader X krijgt nog wel een patch voor dit lek, maar dan later; volgens de reguliere patchcyclus. Arkin blogt dat Adobe wel heeft overwogen om ook voor versie 10 een noodpatch uit te brengen. "Maar dat zou het huidige schema voor patch-release ongeveer een week vertraging hebben opgeleverd." De bescherming van de sandbox, en de afwezigheid van aanvallen via .pdf-bestanden, is volgens het softwarebedrijf afdoende om te wachten met een patch.
