作者PhenomIIX8 (古寺無燈)
看板Browsers
標題[情報]Adobe沙箱機制傳遭破解 PDF零時差攻擊蠢動
時間Wed Nov 14 21:50:37 2012
文/陳曉莉 (編譯) 2012-11-09
http://www.ithome.com.tw/itadm/article.php?c=77183
Group-IB US: Zero-day vulnerability found in Adobe X - Group-IB -
http://ppt.cc/rkya
Group-IB表示,該漏洞的嚴重性在於可繞過Adobe X內部的沙箱設計,由於過去並沒有任
何繞過沙箱的方法文件,使得此一漏洞引來了一些犯罪集團。
總部位於俄國的資安業者Group-IB警告,Adobe在2010年11月正式添加沙箱(sandbox)技
術的Adobe X版本已遭到破解,駭客已經在黑市銷售攻擊程式,可透過惡意的PDF檔執行攻
擊。
Group-IB表示,Adobe X的安全漏洞已被收納在Blackhole Exploit-Kit攻擊套件中,該攻
擊套件主要是用來散布銀行木馬程式,此一漏洞在黑市的價格介於3萬~5萬美元之間,雖
然該漏洞現在只於地下市場小規模地流通,但有潛力發展出大規模的各種攻擊方法。
身陷風險的包括Adobe X(Adobe Reader 10)及Adobe XI(Adobe Reader 11),這兩個
版本都使用了沙箱保護模式以隔離系統及PDF檔,透過最低限度的系統資源及權限來顯示
文件內容,避免惡意PDF影響進入系統核心。
Group-IB國際專案負責人Andrey Komarov指出,Adobe X的漏洞有其限制,例如只有在使
用者關閉再重開瀏覽器時才能成功進行攻擊,或是要求使用者及PDF檔間要有特定的互動
。
不過,該漏洞的嚴重性在於可繞過Adobe X內部的沙箱設計,由於過去並沒有任何繞過沙
箱的方法文件,使得此一漏洞引來了一些犯罪集團。
Adobe則說該公司已看到Group-IB的警告,但未收到任何細節,在資訊不充足的情況下無
法採取任何行動,只能照常繼續監測威脅情況及與安全合作夥伴密切合作。(編譯/陳曉
莉)
概念驗證攻擊影片:
https://www.youtube.com/watch?v=uGF8VDBkK0M
補充:
另外根據
http://www.computerworld.jp/topics/563/205454 (日文) 最後兩段敘述,
此新型exploit即使在JavaScript設定為關閉的情況下也會執行.
Group-IB的Andrey Komarov氏並指出, 主要攻擊對象是使用IE及Firefox下載並由
Adobe Reader開啟檔案的使用者.Google Chrome目前則藉由本身沙箱免疫於此攻擊方式.
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.43.137.207
→ Wcw5504:樹大招風 還好我不用官方Reader... 11/14 22:11
推 CP64:我都用Chrome的內建功能看...( ′-`)y-~ 11/14 22:38
→ George017:意思是說,不要在線上看,載下來看比較安全嗎? 11/14 22:47
→ n6333373:其他 Reader 有類似沙盒的東西嗎? 沒有豈不是更危險? 11/14 23:25
補充(如修到推文sorry)
Zero-day PDF exploit reportedly defeats Adobe Reader sandbox protection -
Computerworld -
http://ppt.cc/nlqS (英文)
第六七段, "JavaScript設定為關閉的情況下也會執行"指的是Adobe Reader,
段落內沒有提及其他PDF閱讀軟體的狀況.
$50,000 Zero-Day Exploit Evades Adobe's Sandbox, Say Russian Analysts -
Slashdot -
http://ppt.cc/NdhQ
底下的回應"What is broken? the reader or the specs?", 有討論到是PDF規格或是
軟體出問題, 主要質疑"如果是PDF規格問題, 那麼什麼Reader也沒用."
==
筆者僅做一個情報轉發. 其他Reader是否安全, 詳細如何要請比較了解的大大來回答.
※ 編輯: PhenomIIX8 來自: 114.43.136.147 (11/15 00:26)
推 timshan:其實這個報告來得有點晚.. 11/15 05:45