Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Adobe Reader X

2010.11.19. 18:51 | buherator | 1 komment

Az Adobe végre kiadta az Adobe Reader X-et, ami sandboxot húz az utóbbi idők legveszélyesebb alkalmazása köre. Az ASSET blogján meg is jelent egy négyrészes sorozat, amiben a Chrome és Office 2010 szakembereivel közösen fejlesztett védelmi megoldások részleteit taglalják.

Sajnos ezek a posztok nem lettek annyira izgalmasak, mint vártam, legalábbis a Chrome után már nem tudtak sok újat mondani, az viszont megragadta a figyelmemet, hogy az ASSET bloggerei voltak annyira korrektek, hogy leírják, mi az amit nem sikerült megoldaniuk.

Már a tervezés során el lett döntve, hogy a sandbox első változata nem fogja korlátozni a fájlolvasást, a hálózati hozzáférést, valamint a vágólap használatot. Az első problémán enyhíthet a megfelelő operációsrendszer-szintű hozzáférés-szabályozás, a középsőn egy szigorú tűzfal, az utolsón pedig az odafigyelés.

A nem tervezett hiányosságokról: David LeBlanc kiváló sandboxing how-toja kitér arra, hogy a potenciálisan veszélyes alkalmazásokat érdemes külön asztalra helyezni, ez azonban az Adobe PDF olvasója esetén túl sok munkát, ezáltal a kiadás csúszását eredményezte volna, így a most kiadott verzióban ez a korlátozás nem él.

Az azonos asztalon futó alkalmazások problematikájának jó példája a shatter támadás , aminek alapja az, hogy egy alacsony jogosultságú folyamat képes beleírni egy vele azonos asztalon futó, magasabb privilégiumszintű folyamat üzenetsorába, valamint ugyanezen processz beviteli mezőivel kapcsolatba lépve a folyamat memóriaterületére is (igen korlátozottan) írhat. Mivel azonban az üzenetsor üzenetei callback függvényekre is hivatkozhatnak, a fenti két lehetőség kihasználásával privilégiumszint-emelés érhető el.

Ez a probléma 2002-óta ismert, így a Microsoft azóta - bár a felelősséget elhárította - már szolgáltatott megoldást az alkalmazásfejlesztők számára, így ezt a fenyegetettséget a Reader X-ben asztalváltás nélkül is meg tudták szüntetni.

A folttalanul maradó rések ehhez képest csak jóval korlátozottabb lehetőségeket biztosítanak, de ezekben is lehet fantázia:

A Reader X még mindig készíthet képet az adott asztalról, megörökítve az ott látható érzékeny információkat (pl. egy jelszóemlékeztető e-mail tartalmát), másrészt a billentyűleütések szintén eljuthatnak a korlátozott processzig, melynek memóriájában tanyázva a megfelelő kódrészlet - bár kitörni nem tud - nyugodtan továbbíthatja a begépelt jelszavainkat a támadó felé.

Utóbbi problémát Vistától kezdve orvosolja, hogy a sandbox folyamat alacsony integritási szinten fut és nem tudja meghookolni a billentyűzet-eseményeket, de persze amíg a felhasználók jelentős része még mindig alig patch-elt XP-kkel dolgozik, ez nem sok vígaszt nyújt, és ezt a tendenciát figyelembe véve a régi Readerek kihalása sem valószínű az elkövetkező néhány évben, pedig az X elterjedése a fenti néhány apróság mellett is igen kívánatos lenne.

Címkék: adobe sandbox adobe reader

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

synapse · http://www.synsecblog.com 2010.11.23. 10:28:20

"e persze amíg a felhasználók jelentős része még mindig alig patch-elt XP-kkel dolgozik, ez nem sok vígaszt nyújt"

Ennek igy semmi ertelme. Win98-at is hasznalhatnanak ennyi erovel. A fix kesz van tessek frissiteni.