Adobe Reader和雜技演員通過PDFs允許攻擊

嚴肅： 媒介

2007年10月22日，

總結：

昨天， Adobe發布更新固定影響運行在Windows XP的Adobe Reader 8.1和Adobe Acrobat 8.1的重要安全漏洞(和所有更早的版本)。 通過誘惑你的一名用戶到打開一個特別地被製作的PDF文件裡，攻擊者可能剝削最壞這些缺點取得對那名用戶的系統控制。 如果您在您的網絡使用Adobe Reader或雜技演員，您應該下載，測試和儘快部署版本8.1.1。

曝光：

在a 安全公報 昨天發布， Adobe在讀者8.1和雜技演員8.1 (和所有更早的版本)警告了幾個重要弱點為Windows XP。 當他們情況通知通常提及多個弱點時，他們只具體地提到 一個問題他們在小的細節描述。 Adobe只認為，如果攻擊者可能說服也有Internet Explorer的Windows XP用戶(IE) 7入打開一個特別地被製作的PDF文件，攻擊者可能利用這個非特指的缺點取得對那名用戶的計算機控制。 因為您能埋置PDF文件入網頁，簡單參觀錯誤網頁也許觸發這個缺點。

Petko D。 Petkov (aka pdp) GNUCITIZEN.org, 首先發現 這個缺點上9月。 在負責任的透露以後原則，他沒有發布關於這個缺點的任何細節，反而等待Adobe發布補丁。 然而，他也許諾發布在行動展示這個缺點的證明概念(PoC)代碼，當Adobe發布了他們的更新。 如此準備為這個弱點短期看盤剝。 Adobe用戶應該儘快升級。

解答道路

Adobe Reader 8.1.1和雜技演員8.1.1固定這些弱點。 Windows XP管理員應該下載，測試和儘快部署這些更新。

• Adobe Reader 8.1.1
• Adobe Acrobat 8.1.1

為所有WatchGuard用戶：

雖然許多WatchGuard的燃燒室模型可能阻攔接踵而來的PDF文件，多數管理員喜歡允許這些文件類型為企業目的。 您應該改為下載和安裝Adobe Reader 8.1.1。

然而，如果您仍然想要阻攔.PDF文件，為指示跟隨鏈接如下：

• 跑8.5的燃燒室x邊緣
  • POP3代理人
  • HTTP代理人

• 燃燒室III和x跑WFS的核心
  • SMTP代理人
  • HTTP代理人
  • 網上訓練代理人模塊

• 燃燒室x核心和X高峰連續Fireware讚成
  • SMTP代理人
  • HTTP代理人

• Vclass
  • SMTP代理人. 您將必須創造或調整根據SMTP接踵而來的一次習慣代理人行動為了剝離.PDF文件。 If you have created your own Proxy Action based on SMTP-Incoming, you can edit it so that it blocks these files. In the Vcontroller software, click the Proxies button and double-click your custom proxy action. Under the Content Checking tab, change “Category” to Attachment Filename and click either the Add to Top or Insert After button (only one or the other will display). Next, type “PDF_files” as the new rule’s name, and choose Pattern Match. Next to Pattern Match, type “*.PDF” and select Strip as the Action. Now you can apply this new Proxy Action to your SMTP rule to ensure your Firebox blocks .PDF files.

 

•  
  • HTTP Proxy. You’ll have to create or adjust a custom proxy action based on HTTP-Outgoing in order to strip .PDF files. If you have created your own Proxy Action based on HTTP-Outgoing, you can edit it so that it blocks these files. In the Vcontroller software, click the Proxies button and double-click your custom proxy action. Under the Request General tab, change “Category” to URL Paths and click on Add. Next, type “PDF_files” as the new rule’s name, and choose Pattern Match. Next to Pattern Match, type “*.PDF” and select Strip as the Action. Now you can apply this new Proxy Action to your HTTP rule to ensure your Firebox blocks .PDF files.

Status:

Adobe released Adobe Reader 8.1.1 and Acrobat 8.1.1 to correct these issues.

References:

• Adobe Security Bulletin
• GNUCITIZEN Zero Day PDF Blog Post