Google Project Zero: 15 ευπάθειες σε Adobe Reader και Windows

Ο hacker Mateusz Jurczyk από το Project Zero αποκάλυψε 15(!) κενά ασφαλείας που επιτρέπουν απομακρυσμένη εκτέλεση κώδικα, και συμπεριλαμβάνονται σε ένα ενιαίο καταστροφικό hack κατά του Adobe Reader και των Windows.security hack

Ο ερευνητής ασφαλείας (@j00ru) του Google Project Zero παρουσίασε τα ευρήματα στο συνέδριο ασφαλείας Recon με τίτλο A story of cross-software ownage, shared codebases and advanced exploitation [PDF ] χωρίς μεγάλες φανφάρες και δημοσίευσε ένα βίντεο επίδειξης των ευπαθειών (PoC).

Τα πιο σημαντικά τρωτά σημεία είναι στα συστήματα των 32-bit (CVE-2.015 έως και 3.052) και στα συστήματα (η ευπάθεια CVE-2015-0093).

Επίσης στο driver γραμματοσειρών Adobe Type Manager (ATMFD.dll) που υπάρχει μια ενότητα η οποία υποστηρίζει γραμματοσειρές τύπου 1 και τύπου 2 στον πυρήνα των Windows από τα Windows NT 4.0.

Ο Jurczyk αναφέρει ότι τα BLEND exploits είναι “απολύτως αξιόπιστα” και έχουν σχέση με τη διαχείριση των CharStrings που είναι υπεύθυνα για τη σχεδίαση του σχήματος του κάθε γράμματος σε ένα συγκεκριμένο μέγεθος.

Μια περίληψη των ευπαθειών που ανακάλυψε ο Jurczyk υπάρχει στην παρακάτω (κλικ για μεγέθυνση).

Google Project Zero

Κάθε ένα από τα 15 τρωτά σημεία που ανακάλυψε ο Jurczyk είναι από μια φαινομενικά ανεξερεύνητη περιοχή και μπορούν να προκαλέσουν απομακρυσμένη εκτέλεση κώδικα ή κλιμάκωση προνομίων στο Adobe Reader ή και στον πυρήνα των Windows.

Η Microsoft και η Adobe διέθεσαν άμεσα τρία updates.

Δείτε το PoC

Πληροφορίες-Φωτογραφίες: ElReg

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).