PDF最新漏洞导致数千用户受攻击

ishwater · 发表于 2008-3-15 14:30

2月12日消息，安全研究机构周一表示，Adobe Reader软件最新披露的一个漏洞被恶意攻击者利用至少已有三个星期，该机构估算被感染用户的数目到目前为止“已有数千人”。

　　据国外媒体报道，Adobe Systems上周二承认，其使用广泛的PDF软件发现了数个漏洞，不过公司随即发布了漏洞补丁，但它还没有公布漏洞的具体数目和危害程度。SANS研究所下属的互联网风暴中心（ISC）和VeriSign公司旗下的iDefense部门表示，其中有一个漏洞至少从1月20日以来已被大范围利用。ISC分析师罗尔·塞勒斯表示，携带恶意代码的PDF文件从位于荷兰的一个服务器不断向外发送木马。塞勒斯表示，针对该漏洞的第一起攻击事件的消息于1月20日出现在意大利的一个网络论坛，有一名用户称他的3台PC被感染，攻击者IP地址追踪显示来自于荷兰。

　　上周五，iDefense发布了3个安全警告，其中罗列了Adobe公司上周已修补漏洞的更多详情。安全警告称，iDefense研究人员格雷格·马克曼纽斯早在去年9月发现并报告了相关漏洞，安全警告称，漏洞在Adobe Reader软件运行JavaScript程序的过程中出现，具体是在指向图书馆并要求提供加密和签名认证时出现。

　　其中有一个提到JavaScript漏洞的安全警告称，Adobe Reader 和Adobe Acrobat“在JavaScript运行中发现了数个stack-based缓冲区溢出漏洞”，“攻击者可能利用上述漏洞在当前用户的PC上强行运行代码”。

　　意大利一个网络论坛1月20日提到的攻击利用的就是JavaScript的一个漏洞。据推测，上述漏洞完全可能被Immunity的研究人员科斯特亚·考钦斯基上周提到了概念验证攻击利用，因为该攻击同样也在利用iDefense已报道的栈外溢漏洞。Immunity上周四在《CANVAS简报》中将上述经过修改的全功能漏洞称为“JavaScript栈外溢漏洞”。

　　赛门铁克的一位分析师表示，上述攻击可能源于被俘获的合法站点通过JavaScript或iFrame指向的PDF文件带来的恶意广告文件或被害站点。该分析师表示，攻击者可能会诱骗用户打开一垃圾邮件带来的PDF附件，他没有透露被攻击者的具体数目，但称全部数字可能“达到了数千”。

　　这位分析师还表示，相关安全漏洞的详细情况很可能在Adobe修补前已经披露。

　　上周四，Adobe在其网站上新发布了一条安全公告，但其中并未提及已修补漏洞的详情。在公告中，Adobe列出了最早发现漏洞的以下个人与机构：iDefense公司的马克曼纽斯、谷歌的研究人员、Fortinet公司、3Com公司的TippingPoint部门和新西兰安全咨询机构Security