• Thứ Ba, 14/09/2010 10:36 (GMT+7)

    Mã khai thác lỗi PDF zero-day Adobe mới nhất khá đáng sợ

    Bạch Đình Vinh
    Mã này vượt qua các cơ cấu bảo vệ DEP và ASLR của Windows, đi kèm với chứng nhận số hợp lệ.

    Mã khai thác một lỗi nghiêm trọng chưa được vá trong Adobe Reader giờ đây đang lan truyền. Theo các nhà nghiên cứu bảo mật, mã này là "thông minh" và "ấn tượng".

    Trong mã khai thác được nhà nghiên cứu bảo mật độc lập Mila Parkour (sống ở Washington, Mỹ) tiết lộ lần đầu tiên hôm thứ Ba 7/9/2010, kẻ tấn công sẽ sử dụng các tài liệu PDF gian lận có chứa mã khai thác lỗ hổng zero-day trong trình xem file PDF Reader cũng như trong Acrobat - phần mềm tạo file PDF của Adobe.

    Mã khai thác tinh vi này vượt qua 2 cơ cấu phòng thủ quan trọng mà Microsoft dựng lên để bảo vệ Windows là ASLR (address space layout randomization - bố trí không gian địa chỉ ngẫu nhiên) và DEP (date execution prevention - thời điểm thực hiện công tác phòng chống), các nhà nghiên cứu đã xác nhận.

    Một mã khai thác đang làm việc (do nhà nghiên cứu Joshua Drake viết) đã được thêm vào bộ kit thử nghiệm thâm nhập nguồn mở Metasploit hôm thứ Năm 9/9/2010. Đầu ngày hôm sau, mã này được sửa đổi để chạy ổn định trên các hệ thống Windows Vista/Windows 7, và để khởi động từ trình duyệt, ông HD Moore, Giám đốc bảo mật của công ty Rapid7 và là tác giả của Metasploit cho biết. Hiện mã khai thác do ông Drake viết đã lây lan rộng, có thể làm thương tổn PC cài Windows nếu người sử dụng xem trước file PDF “độc”.

    Nhà nghiên cứu Chet Wisniewski của hãng bảo mật Sophos cho biết, việc vô hiệu hóa JavaScript trong Reader và Acrobat sẽ ngăn chặn được mã khai thác trong hiện tại nhưng có thể sẽ không bảo vệ được mọi người chống lại các cuộc tấn công trong tương lai. Để vô hiệu hoá JavaScript trong Adobe Reader hay Acrobat trên Windows, người dùng phải lựa chọn Preferences từ menu Edit, chọn "JavaScript", sau đó bỏ chọn (uncheck) khỏi tùy chọn "Enable Acrobat JavaScript". (Trên máy Mac, Preferences ở dưới các menu "Adobe Reader" hoặc "Adobe Acrobat").

    Viện SANS khuyến nghị một cách giải quyết khác là cài đặt add-on trình duyệt gPDF để mở tài liệu PDF trên nền web trong trình xem PDF của Google Docs thay vì sử dụng plug-in trình duyệt Adobe Reader. Hiện đã có các phiên bản add-on gPDF cho Firefox và Chrome, nó cũng có thể được chạy trên Safari và Opera nhờ sử dụng những script Greasemonkey có sẵn.

    Từ khóa: Adobe, PDF
    Nguồn: Computerworld, 10/9/2010