注意防范Acrobat PDF 0day

查看文章

2009-02-24 14:34

    这个PDF 0day的分析和利用代码已经公布，并且广为转载了，利用这个漏洞传播病毒已经变得相当容易。
    根据已公布的资料，Adobe Acrobat和Acrobat Reader 8 / 9 存在该漏洞。Adobe计划在3月11日发布补丁。暂时的解决方案有：

1，禁用Acrobat Javascript
    如果你用的是Acrobat Reader 9.0，可以从这里下载批处理程序，运行后即搞定。
    或者手工在首选项里面把启用JavaScript选项禁用，如下图：

2，安装山寨补丁
目前有一个仅供Acrobat Reader 9使用的第三方补丁，下载zip包，解压出AcroRd32.dll覆盖原文件（一般在C:\Program Files\Adobe\Reader 9.0\Reader\）

相关链接：
Acrobat 0-day used in targeted attacks
Homebrew patch for Adobe AcroReader 9
Have a nice weekend!(PDF love)
Multiple PDF Readers JBIG2 Local Buffer Overflow PoC
Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day

Updated 2009-2-25
禁用JavaScript能够阻止绝大多数的恶意PDF攻击，但不是100%。利用这个0day，无需JavaScript也能制作出稳定运行的恶意PDF。所以，要么安装山寨补丁，要么等2周后发布的官方补丁。
http://secunia.com/blog/44/

Updated 2009-2-26
改进了那个山寨补丁，江民PDF补丁只有几十KB，且适用Acrobat Reader 8 & 9。详见这里。

类别：系统网络安全 | 添加到搜藏 | 浏览() | 评论 (5)

最近读者：

网友评论：

2009-02-24 16:59 | 回复

我装的fox reader，受这个影响吗？

2009-02-24 17:26 | 回复

@tblc, 可以试着打开http://milw0rm.com/sploits/2009-41414141.pdf，如果有漏洞，这个pdf会让reader崩溃。如果没事的话，应该就没漏洞了。

2009-02-24 22:14 | 回复

山寨补丁价格便宜量又足。

2009-02-25 18:13 | 回复

运行时提示：Foxit Reader 缺少组件 - Foxit Reader JavaScript Suport 。你需要从我们的网站下载更新以正确显示该文件。

然后点击下载更新，出现下载窗口：

This add-on is used to execute JavaScript scripts in many interactive forms. If you don't install this add-on, although you still can fill in such forms, you wouldn't be able to perform some automated tasks like field value verification and recalculation.
正在下载更新 1 / 1(Foxit Reader JavaScript Support)

javascript_1.0.2007.0406.fzip

之后打开2009-41414141.pdf，等了半天，一直假死，最终真死了- -||

所以我马上去打补丁！

2009-02-25 22:25 | 回复

这下晓得这个漏洞。

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复