И снова многострадальный Adobe
В наиболее распространенных продуктах компании Adobe — Acrobat/Reader — заинтересованные лица продолжают находить уязвимости и успешно их использовать.
Так, несколько дней назад к нам в Лабораторию попал интересный PDF-файл (детектируется как Exploit.JS.Pdfka.bui), в котором содержалось эксплуатирование обнаруженной в феврале уязвимости CVE-2010-0188 в Acrobat/Reader версии 9.3 и ниже.
В первую очередь в глаза бросается заведомо неправильно сформированное TIFF-изображение, которое находится внутри исходного PDF-файла.
љ
Уязвимость — переполнение буфера — проявляется при обращении к полю, содержащему это изображение. Сама же атака осуществляется с помощью техники heap spraying, которая активно используется во многих эксплойтах к продуктам, которые могут обрабатывать JavaScript-код. К примеру, последняя громкая атака Aurora, была проведена с применением именно этой техники.
При удачном использовании вышеописанной уязвимости, адрес возврата перезаписывается заранее известным адресом 0xC0C0C0C0, по которому находится контролируемый злоумышленниками код.
Дата публикации: 13, Марта 2010 г.
Источник: Лаборатория Касперского
љ