Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Adobe confirms remote code-execution flaw in Reader (again)

[es] :: Advocacy :: Adobe confirms remote code-execution flaw in Reader (again)

[ Pregleda: 2057 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 15920
*.dip.t-dialin.net.



+6434 Profil

icon Adobe confirms remote code-execution flaw in Reader (again)04.08.2010. u 10:17 - pre 116 meseci
http://www.theregister.co.uk/2...04/critical_adobe_reader_vuln/

Novi dan... novi PDF ili Adobe Reader kriticni exploit :)

Citat:

A security researcher has uncovered yet another vulnerability in Adobe Reader that allows hackers to execute malicious code on computers by tricking their users into opening booby-trapped files.

Miller's discovery is the latest to document a vulnerability in Adobe Reader that puts its users at risk of attacks that can surreptitiously install malware that steals passwords or other sensitive information. The vulnerability affects versions for Windows, Unix, and Mac OS X.


Kao sto sam davno rekao - glorifikovani tekst format koji izvrsava skripte, lansira druge programe... bound to fail :)
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1
Demo Videos: http://www.digicortex.net/node/17
Gallery: http://www.digicortex.net/node/25
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
*.dynamic.isp.telekom.rs.

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)04.08.2010. u 14:08 - pre 116 meseci
A znas sta mi nije jasno, kad vec spominju Unix, kako ALI KAKO uspevaju da dobijaju root privilegije ? Niti izvrsavas Reader kao root niti sta... A haos koji bi mogli da naprave eventualno sa korisnickog naloga je pfff, smesna. Sad skidam ove slajdove i white paper - da vidim i ovo za OpenOffice.
make love - !war
 
Odgovor na temu

mkoscevic

Član broj: 232056
Poruke: 7



+2 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)04.08.2010. u 18:45 - pre 116 meseci
Citat:
combuster: A znas sta mi nije jasno, kad vec spominju Unix, kako ALI KAKO uspevaju da dobijaju root privilegije ? Niti izvrsavas Reader kao root niti sta... A haos koji bi mogli da naprave eventualno sa korisnickog naloga je pfff, smesna. Sad skidam ove slajdove i white paper - da vidim i ovo za OpenOffice.


U Windows varijanti, vezano uz jedan prošlogodišnji propust, Indexing Service je preko IFiltra Adobe Readera dobio mogućnost indeksiranja PDF datoteka, a tijekom tog procesa maliciozni objekt u PDF-u mogao je izazvati proizvoljno izvršavanje naredbi sa SYSTEM razinom prava koja su inherentna spomenutom servisu.

Iako postoji više koraka za ublažavanje napada u Readeru kao što su onemogućavanje JS-a, određenih multimedijalnih mogućnosti, izvršavanja drugih formata datoteka osim PDF-a, stroži nadzor instaliranih plug-ina, etc., ipak nisu svi sigurnosni propusti bili izvođeni JS-om (čija je implementacija posebno loša). Naravno, uz ove korake idu standardne procedure OS hardeninga.

Jedan od većih problema za Adobe, kao i za ostatak industrije, iznimno je malen broj korisnika koji redovito instaliraju patcheve, a još manji broj onih koji implementiraju pojačane konfiguracijske postavke u vremenu dok patch nije dostupan. Inače, ta nesigurna praksa glavni je razlog masovnih kompromitacija u svijetu. Samo da postoji redovni update OS-a i posebno 3rd party aplikacija (za koje većina korisnika tek mora shvatiti da ih je jednako važno ažurirati kao i OS, no recimo da generalno mehanizmi za update većine tih aplikacija nisu tako glatki u praksi kao za OS), PC wonderland bio bi mnogo ugodnije mjesto. Zato su Adobeu krenuli s regularnim terminima za update umjesto prijašnjih ad-hoc izlazaka koja nije bila dovoljno prepoznatljiva za Jožu.

Struktura PDF specifikacije obzirom na broj featurea i razinu programabilnosti vrlo je kompleksna. Adobe bi trebao detaljno pročešljati cijelu specifikaciju (hint: /launch) te je uskladiti sa (ne)sigurnom stvarnošću novog doba. Osim toga, najveći problem im je količina legacy koda koja nije obuhvaćena SPLC-om (Secure Product Lifecycle). Iako Reader (i ostali proizvodi te kuće koji pate od istih problema) nije Windows po kompleksnosti, riječ je o vrlo dugotrajnom i zahtjevnom procesu. Microsoft se susreo s tom mračnom stvarnošću 2002/3-e. Obje tvrtke, kao i sve ostale s gomilom legacy koda iz pravremena, doživjet će istu sudbinu.

Adobe bi također trebao biti oprezniji i ne žuriti s implementacijom sigurnosnih featurea, kao recimo JavaScript Blacklist Framework, koje predstavljaju korak u pravom smjeru ali u praksi djelomično adresiraju postojeće vektore napada jer nisu htjeli uložiti više vremena u kvalitetniji threat modeling. Suočavaju se naravno, i s problemom nesigurne defaultne konfiguracije jer ne žele da korisnik mora omogućavati dodatne mogućnosti. U tom slučaju treba pojednostavniti proces hardeninga Readera za Jožu jer on sigurno neće potrošiti vrijeme za traženje preporučenih postavki dok patch nije dostupan.

Većina korisnika Readera ozbiljno bi trebala razmotriti alternativne preglednike. I mean, PDF readeri s osnovnim mogućnostima zasigurno neće koristiti punu snagu PDF specifikacije, ali tko od nas zapravo treba te dodatne mogućnosti koje "moramo" onemogućavati svako malo zbog konstantnih 0-day oluja? To je ključno pitanje. Kroz moju Sumatru prolazi mnogo PDF-ova, i nikad nije bilo problema jer mi sve više od toga nije potrebno. Trebalo bi zaista razmisliti o tome prije nego što se posjeti get.adobe.com.

Prije nešto manje od dvije godine kada se PDF počeo masovno koristiti za eksploataciju PC wonderlanda, Adobe je rekao "We care". Zanimljivo kako je njihova sigurnosna inicijativa pravi zamah uzela baš u to vrijeme kada je već nekoliko high profile 0-daya kompromitiralo masu PC-a, a reputacija im se ubrzano srozavala. Tvrtka s takvom odgovornošću (ipak, gdje to Reader NIJE instaliran? ;-)), da joj je imalo stalo do korisnika, davnih bi dana na lekcijama Microsofta krenula s inicijativom koja je udahnula život u tek godini 2009. - kad je već bilo prekasno za sprečavanje masovnih eksploatacija osim konstatirati "Zajebali smo".

[Ovu poruku je menjao mkoscevic dana 04.08.2010. u 21:39 GMT+1]
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
*.dynamic.isp.telekom.rs.

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)04.08.2010. u 19:06 - pre 116 meseci
Ajd, ok, razumem da overflow moze da dovede do crash-a vitalnog servisa koji na dalje moze da omoguci napadacu da deluje - ali u slucaju adobe reader-a i openoffica koji se pokrecu sa korisnickim privilegijama ? Ok, ajde i da dodjes do ta dva bajta u memoriji - sta bi sa njima, rezervisan je od strane procesa koji ima korisnicke privilegije - u can't do sh** sa tim. Memory management valjda nece dozvoliti da korisnicka aplikacija alocira memoriju unutar kernel prostora... Ili gresim ?
make love - !war
 
Odgovor na temu

mkoscevic

Član broj: 232056
Poruke: 7



+2 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)05.08.2010. u 17:55 - pre 116 meseci
http://blog.didierstevens.com/...ig2decode-look-mommy-no-hands/
 
Odgovor na temu

combuster
Ivan Bulatovic
Kraljevo

Član broj: 151351
Poruke: 4563
*.dynamic.isp.telekom.rs.

Sajt: www.linuxsrbija.org


+104 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)05.08.2010. u 21:16 - pre 116 meseci
Crash servisa koji trci sa admin privilegijama uzrokovan brljanjem po malicioznom pdf-u i samim tim mozes da dobijes koji bajtic u kernel prostoru. E to je vec nesto drugo. Nije mi ni palo na pamet (jer nisu bili bug-ovi u indexing servisima vec u korisnickim aplikacijama koji otvaraju tampered file).
make love - !war
 
Odgovor na temu

Ivan Dimkovic

Administrator
Član broj: 13
Poruke: 15920
*.dip.t-dialin.net.



+6434 Profil

icon Re: Adobe confirms remote code-execution flaw in Reader (again)05.08.2010. u 21:29 - pre 116 meseci
Citat:

When Adobe Acrobat Reader 9.0 is installed, it also installs an IFilter (AcroRdIF.dll). This COM object extends the Windows Indexing Service with the capability to read and index PDF documents. When the Windows Indexing Service encounters a PDF file, it will index it. The content indexing daemon (cidaemon.exe) calls the Acrobat IFilter (AcroRdIF.dll) which loads the Acrobat PDF parser (AcroRD32.dll). If the PDF document contains a malformed /JBIG2Decode stream object, it will result in an access violation in the instruction at 0x01A7D89A.


Adobe-u jednostavno treba zabraniti bilo kakav pristup komponentama koje imaju veci nivo prostupa od neprivilegovanog korisnika :-)

U slucaju servisa sa local-system privilegijama kao sto je Indexer, mislim da bi cak imalo smisla lepo napraviti process boundary za sve ekstenzije i ceo ekstenzioni API svesti na IPC. Jeste da bi se tu akumulirali penali u performansama ali Windows desktop OS-evi i ovako i onako trce na jakom hardveru + indeksiranje fajlova nije neki bog-zna kako performance-critical posao posto i ovako i onako trci u idle momentima i to ne cesto.

DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1
Demo Videos: http://www.digicortex.net/node/17
Gallery: http://www.digicortex.net/node/25
 
Odgovor na temu

[es] :: Advocacy :: Adobe confirms remote code-execution flaw in Reader (again)

[ Pregleda: 2057 | Odgovora: 6 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.