Nieuwe malware is opgedoken voor het exploiten van het beveiligingsgat in de PDF-applicaties van Adobe. Die nieuwe code doet zijn kwaadaardige werk zonder dat de pc-gebruiker eerst een malafide PDF-document hoeft te openen. Het misbruik van dit gat in Acrobat en Reader is nu dus geautomatiseerd.

Zonder dubbelklik

De eerst opgedoken exploitcode kan het gat pas gebruiken zodra de gebruiker een nep-PDF aanklikt. Dat bestand zorgt dan voor een buffer overflow waarna de kwaadaardige code actief wordt. In eerste instantie is de JavaScript-engine in de Adobe-software aangewezen als oorzaak. Beveiligingsbedrijf Secunia heeft toen echter een methode uitgedokterd om dit gat te misbruiken zonder JavaScript.

De nu opgedoken nieuwe malware gebruikt een functie van Windows zelf (shell extensions) voor de activering van de kwaadaardige code. Daarvoor is slechts interactie met de Windows Verkenner nodig, wat bijvoorbeeld gebeurt als zo’n malafide PDF-bestand wordt opgeslagen.

Patch in aantocht

Adobe komt volgens planning komende week pas met een patch. Die is dan voor de courante versie 9 van de Acrobat- en Reader-software. Het gat is ook aanwezig in voorgaande versies. Patches voor versie 7 en 8 volgen nog een week later.

Malware voor dit beveiligingsgat is opgedoken enkele dagen na de ontdekking van het lek. De softwareleverancier heeft al kritiek gevangen voor deze tijdsspanne, maar het ontwikkelen en testen van de patch heeft tijd nodig.

Ondertussen werkt Adobe wel samen met leveranciers van beveiligingssoftware. Die bedrijven krijgen diepgaande informatie over het gat zodat hun producten in staat malafide PDF-bestanden te herkennen en onderscheppen. Adobe geeft in op zijn security-blog een lijst van leveranciers wiens producten bescherming bieden.