Het gaat in ieder geval om drie van de meest recente versies (9.5.3, 10.1.5 en 11.0.1) van Adobe PDF Reader, terwijl mogelijk ook oudere versies kwetsbaar zijn . In een blogpost laten de drie ontdekkers van FireEye weten dat zij Adobe eerst op de hoogte hebben gesteld voor het overgaan op publicatie.

Het Adobe PSIRT-team (Product Security Incident Response Team) laat weten een onderzoek in te stellen naar het zero-day-lek. Daarbij kijkt het ook naar de beveiliging van zijn betaalde PDF-versie Acrobat XI.

Aanval werkt met DLL-bestanden

Bij een succesvolle aanval worden er twee malafide DLL-bestanden gedraaid op Windows. Het eerste bestand toont een zogenaamde foutmelding en opent tegelijkertijd ongemerkt op de achtergrond een PDF-document waarmee gebruikers in de val worden gelokt.

Het tweede bestand bevat een callback-component, die over HTTP contact maakt met een domein op afstand:

Klik voor groot De beveiligingsonderzoekers van FireEye raden iedereen af om voorlopig PDF-bestanden met Adobe Reader te openen. Het bedrijf doet ondertussen verder onderzoek naar het lek en hoopt op termijn met meer specifieke informatie te komen.