通報概述:
主旨:Adobe Acrobat/Reader JBIG2 Image Stream 遠程執行代碼
時間:2009/02/23
等級: 第一級(注意)
通報類別:弱點警報
編寫:G-Expert網路安全團隊-黃昭明
描述:
於2009年開始,Adobe發出了第一個安全通報,利用PDF檔案中嵌入特殊的JBIG2影像資料流,造成Adobe軟體開啟時產生堆積填充(Heap Spray)。PDF文件可像HTML一樣,在文件內撰寫JavaScript腳本程式,利用JavaScript的記憶體宣告及unescape函數,將Shellcode填入至堆記憶體中,當弱點觸發後,造成流程轉移,使之跳入Shellcode程式碼執行。官方網站說明,將在3月11日發佈修補程式,此段時間將成空窗期。
影響系統:Adobe Acrobat/Reader 9.0 及之前的版本
解決方案:
1.關閉 Adobe Acrobat 中的 JavaScript
功能表選單 -> 編輯 -> 偏好設定 -> JavaScript,取消 "啟用 Acrobat JavaScript"
2.產品升級
Network Sensor 7.0
Proventia A
Proventia IPS (G/GX)
Server Sensor 7.0
Proventia Multifunction Appliance
Proventia Mail
Proventia Server (Linux) 版本 XPU 28.020
Proventia Server (Windows)
Proventia Desktop 版本 2160
參考資料:
1.Adobe Reader and Adobe Acrobat JBIG2 Image Stream Remote Code Execution
http://www.iss.net/threats/319.html
2.Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-01.html
3.New BackDoor Attacks Using PDF Documents
http://www.avertlabs.com/research/blog/index.php/2009/02/19/new-backdoor-attacks-using-pdf-documents/
4.Adobe Reader 9 and Acrobat 9 zero day exploited in the wild
http://blogs.zdnet.com/security/?p=2631 |
