Lecsaptak a vírusterjesztők az Adobe-féle hibára

Az Adobe az egyik biztonsági közleményében hivatalosan is elismerte, hogy a Reader, illetve az Acrobat alkalmazása egy súlyos biztonsági hibát tartalmaz. Ennek kihasználásával a támadóknak kártékony kódok jogosulatlan távoli futtatására, és az érintett rendszerek feletti irányítás teljes átvételére nyílhat lehetőségük. A sérülékenység kockázatát tovább fokozza, hogy a kihasználásához szükséges kód, exploit már elérhető az interneten. A kiberbűnözés pedig egy percig sem vár azzal, hogy kiaknázza a sebezhetőségben rejlő lehetőségeket.

Kritikus veszélyességű hiba

A Secunia és az Isidor Biztonsági Központ is kritikus veszélyességű besorolással látta el az Adobe által ismertetett hibát. A biztonsági rés az U3D-feldolgozást érinti, aminek hatására speciálisan szerkesztett PDF-állományok révén memóriakezelési rendellenességek idézhetők elő. Az Adobe a hibajavítás megjelenéséig nem kívánt további részleteket elárulni a sebezhetőséggel kapcsolatban. Annyit azonban közölt, hogy a sérülékenység a Reader és Acrobat szoftverek 9-es és X-es verzióiban is kimutatható. Frissítésre a Windows, a Mac OS X valamint a Linux kompatibilis verziók esetében is szükség lesz.

Ki a felfedező?

Az Adobe a biztonsági közleményét először úgy adta ki, hogy a sebezhetőség felfedezőjeként a MITRE-t jelölte meg. Nem sokkal később azonban módosította a tájékoztatóját, és a Lockheed Martin CIRT valamint a Defense Security Information Exchange tagjainak mondott köszönetet azért, amiért jelezték a hibát.

Elindult a vírusterjesztés

Az Adobe PDF-kezelő alkalmazásainak kapcsán felmerült sebezhetőséggel összefüggésben a Symantec jelezte, hogy egyre szélesebb körben okoz problémákat az exploit. "A célpontok között telekommunikációs vállalatok, gyárak, informatikai cégek, vegyi üzemek és védelmi intézmények is szerepelnek" - mondta Joshua Talbot, a Symantec biztonsági menedzsere. A biztonsági cég olyan, november elején kézbesített e-maileket is talált, amelyek feltehetőleg a most napvilágra került sérülékenységet igyekeztek a támadók javára fordítani. Egy ilyen levél a következőképpen fest:

Forrás: Symantec

Látható, hogy a mellékletben egy PDF-állomány található. Amennyiben ezt egy felhasználó megnyitotta, akkor a kártékony kód azonnal lefutott, majd a számítógépre egy Sykipot trójai került. E számítógépes károkozó régebb óta ismert, hiszen például 2010 elején is ezt használta a kiberbűnözés egy Internet Explorer sebezhetőség kapcsán. "A trójai nem túlságosan kifinomult. Egy általános célú, hátsó kaput létesítő program. Az egyik érdekessége, hogy az általa eltulajdonított adatokat titkosítja, így nehezebb felfedezni az adatszivárgást" - nyilatkozta Talbot.

Hibajavítás és védekezés

Az Adobe jelenlegi tervei szerint a sérülékenység orvoslására a jövő héten fog sor kerülni a Reader és Acrobat alkalmazások Windows kompatibilis, 9-es verzióinak esetében. Vagyis egy soron kívüli hibajavítás válik majd elérhetővé az Adobe által legveszélyeztetettebbnek tartott verziókhoz. A Reader és az Acrobat X-es változataihoz, illetve a többi platformon futtatható kiadásokhoz azonban várhatóan csak a jövő év elején válik elérhetővé frissítés. A cég szerint ugyanis a legújabb verziókhoz tartozó sandbox képes gátat szabni a károkozásoknak, vagy legalábbis érdemben tudja csökkenteni a kockázatokat. A fejlesztők azt javasolták, hogy mindenki ellenőrizze, hogy a Reader valamint az Acrobat szoftverekben engedélyezett-e a Protected Mode, illetve a Protected View opció. (A Reader esetében ez az opció a Szerkesztés menü Beállítások menüpontjával elérhető, általános beállítások között található, „Védett mód bekapcsolása indításkor" jelölőnégyzet bejelölését jelenti.)