На днях обнаружена парнями из российской компании Group-IB обнаружена уязвимость в Adobe Reader актуальная для версий 10 и 11, позволяющая создавать вредоносные PDF-файлы, в том числе открываемые через плагины браузеров.
Для эксплуатации уязвимости необходимо специальным образом сформировать PDF-файл, который затем отправляется по электронной почте в качестве вложения, либо отправить ссылку на этот файл. После его открытия выполняется вредоносный код.
Также необходимы специальные условия для успешной эксплуатации уязвимости. Например для того, чтобы осуществилось неавторизированное исполнение произвольного кода необходимо закрытие интернет-браузера либо его перезагрузка.
Еще один вариант эксплуатации уязвимости заключается в интерактивном взаимодействии с пользователем, которому потребуется подтвердить какое-либо действие в контексте открытого документа. После этого выполнится вредоносный код.
Ранее не было афишировано ни одного эксплойта под указанные версии Adobe Reader из-за наличия встроенной «песочницы» (Sandbox, Protected View), ограничивающей возможности выполнения произвольного кода путем использования внутренних инструкций и специальной среды исполнения. Появление же 0-day эксплоита повлечет за собой создание новых механизмов заражения…
Наибольший риск для пользователей создают именно продукты массового использования, в частности популярный Adobe Reader. Поэтому в ближайшее время ожидается выход его обновленной версии с закрытой уязвимостью.
Демонстрация уязвимости:
https://www.youtube.com/watch?v=uGF8VDBkK0M
Автор: supasufa
