Speciaal gemaakte PDF-bestanden met ingebouwde Trojan gaan rond op internet. De makers willen daarmee misbruik maken van een buffer overflow in de PDF-programma’s van Adobe. Die software, Acrobat en Adobe Reader, hebben een gat in de omgang met JavaScript in PDF-bestanden. De fout is aanwezig in de huidige versie 9, maar ook in voorgaande versies.
Beveiligingsleverancier Symantec heeft deze kwaadaardige PDF-bestanden al waargenomen. Die exploitcode circuleert al ‘in the wild’, dus vrijelijk op internet. De waarnemingen zijn gedaan in China, Japan en Taiwan, maar ook Groot-Brittannië en de Verenigde Staten.
De Trojan, genaamd Pidief, is vorige week voor het eerst opgedoken, maar komt nu op stoom. Het risico werd aanvankelijk als laag ingeschaald. Dat is inmiddels bijgesteld naar kritiek of zeer kritiek.
Wachten op patch
Adobe werkt aan een patch, maar zegt dat die pas begin maart uitkomt. Een ongeduldige hacker van beveiligingsbedrijf Sourcefire heeft een eigen patch gemaakt. Die vervangt het AcroRd32.dll-bestand en beschermt daarmee tegen misbruik van dit gat in Adobe’s PDF-software. Dit geldt overigens alleen voor versie 9.
Adobe zelf patcht in eerste instantie ook die courante versie. De patch daarvoor moet 11 maart uitkomen. Daarna volgt een patch voor versie 8 en later een voor versie 7. De timing daarvan is nog onbekend.
Nog een patch van derden
Ondertussen heeft het Amerikaanse security consultingbedrijf PhishLabs ook een eigen patch uitgebracht voor het gat in Adobe's PDF-software. Dit is een batch-bestand dat de uitvoering van JavaScript door Adobe-applicaties voorkomt. Die patch brengt een register-wijziging en kan hiermee automatisch uitgerold worden naar vele desktops.
Bron: Webwereld.nl