Серьезная уязвимость обнаружена в популярной программе Adobe® Acrobat®

[03.05.2003]

30 апреля текущего года производитель программного обеспечения компания Adobe опубликовала патч к программе Adobe^® Acrobat^® версии 5.0.5. Поводом к публикации обновления стало обнаружение уязвимости в системе безопасности программы данной версии. Выявленный дефект в программном обеспечении предоставляет возможность нападающему воспользоваться уязвимостью синтаксического анализатора JavaScript, используемого в программе Acrobat 5.0.5, что может привести к запуску произвольного кода из каталога plug-ins.

В случае открытия на компьютере пользователя PDF-файла со встроенным в него вредоносным кодом, программе Adobe Acrobat может быть дана инструкция записать этот код в директорию plug_ins, которая, как правило, расположена по следующему адресу: \Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins. При последующем старте программы Acrobat автоматически подгружаются и стартуют все модули, расположенные в директории plug-ins, если они созданы в соответствии со спецификацией Adobe Acrobat. Записанный злоумышленником в эту директорию код также окажется запущенным, что может привести к непредсказуемым для пользователя последствиям.

Вирусный мир уже осчастливлен появлением файлового вируса, использующего данную уязвимость. Вирус получил название Yourde от строки Your_Death, находящейся внутри его кода. С компьютера на компьютер вирус распространяется через файлы в формате PDF. Вирус обладает возможностью заражать системы только с установленными в них версиями Acrobat 5.0.5 и только в операционных системах семейства Windows. Не являются уязвимыми любые версии программы Adobe Acrobat Reader^®. Данный вирус относится к разряду "концептуальных" вирусов, то есть, он демонстрирует принципиальную возможность использования определенной программной уязвимости.

После попадания вируса на компьютер и открытия пользователем инфицированного им документа он помещает в систему два файла:

в директорию Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins - файл Death.api - подключаемый модуль (plug-in), наличие которого гарантирует запуск вируса при каждом начале работы пользователя в Acrobat

на диск С:\ - файл Evil.fdf в котором содержится вредоносный JavaScript.

В дальнейшем инфицированию подвергаются только те файлы в формате PDF, которые открываются и сохраняются после осуществления процесса инфицирования. Не будут заражены вновь создаваемые или не сохраняемые, а только просматриваемые пользователем файлы. При открытии файлов в формате PDF вирус будет помещать в каждый из них вышеуказанные файлы.

Для того, чтобы избежать заражения вирусом Yourde, компания Adobe советует своим пользователям установить на компьютеры вышеуказанный патч или обновить используемую ими версию программы Adobe Acrobat до версии 6.0.