Symantec waarschuwt voor exploit in Adobe-software
Gepubliceerd: Woensdag 24 oktober 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Enkele uren nadat Adobe een patch uitbracht voor een veiligheidsprobleem in zijn Reader- en Acrobat-software, dook er al een gemanipuleerd pdf-bestand op dat het lek misbruikt. Snel updaten is het advies.
Adobe repareerde op maandag een kritiek lek in Adobe Reader, Adobe Acrobat en Adobe 3D. Het lek dat in september was ontdekt door bugjager Petko D. Petkov, maakte het mogelijk om met behulp van een geprepareerd pdf-bestand andermans computer over te nemen. Petkov besloot vanwege de ernst van het probleem - tegen zijn gewoonte in - geen proof of concept code voor het lek te maken. Dat lijkt een verstandige beslissing te zijn geweest, want volgens het security-bedrijf Symantec dook enkele uren nadat Adobe het lek dichtte al een exploit 'in het wild' op.
De maker van de exploit probeert waarschijnlijk gebruik te maken van de tijd totdat de gebruikers van de Adobe-software de patch hebben geïnstalleerd. Het kwaadaardige pdf-bestand (met bestandsnamen als: INVOICE.pdf, YOUR_BILL.pdf, BILL.pdf, STATEMET.pdf) komt via e-mail binnen. Als ontvangers het bijvoegsel openen, wordt er een Trojaans paard (Pidief.a) gelanceerd dat op ongepatche computers de firewall van Windows uitschakelt en nieuwe malware downloadt.
Symantec vermoedt dat de e-mails met het gemanipuleerde pdf-bestand gericht naar bepaalde bedrijven worden gestuurd. "Tot nu toe hebben we een redelijk aantal e-mails met deze trojan in het wild gezien", stelt Hon Lau van Symantec. Volgens Adobe zijn alleen gebruikers van Windows XP in combinatie met Internet Explorer kwetsbaar voor het lek. De kwetsbaarheid in de Adobe-software hangt samen met de manier waarop Windows omgaat met Uniform Resource Identifiers (URI's).
Bron: Techworld
