Aktívan kihasznált javítatlan Adobe Reader sebezhetőséget fedeztek fel két napja több biztonsági cég szakemberei is. A problémát a cooltype.dll helytelen TTF betűtípuskezelése okozza, mivel a program egy 256 byte hosszú bufferbe akar bepakolni egy ellenőrizetlen, felhasználó által szolgáltatott adatot. A felfedezett exploit heap spraying és ROP technikákat alkalmazva megkerüli az ASLR és DEP nyújtotta védelmet, így a kártékony PDF dokumentum odavág a Windows Vistáknak és a 7-eseknek is. Jelenleg az egyetlen (részleges) védekezési módot a JavaScript kikapcsolása jelenti, azonban megjelenhetnek JS-t nem igénylő kártevő variánsok is.
A problémáról és a vadon talált exploitról részletes elemzés olvasható itt és itt.
synapse · http://www.synsecblog.com 2010.09.09. 10:58:15
nice