时值年末假期,Adobe和Adobe Reader又被曝出新的零日漏洞(CVE-2009-4324)。
该Adobe Reader and Acrobat 'newplayer()' JavaScript 漏洞位于多媒体插件Multimedia.api。目前针对该漏洞的攻击主要是通过包含有特殊JavaScript的PDF文件。这类特制的PDF文件可能通过邮件附件的形式进入用户计算机,并会诱导用户点击打开文件。赛门铁克已发布针对该病毒的定义Trojan.Pidief.H。
当用户打开这类PDF文件时,攻击者会利用newplayer() 函数中出现的系统漏洞进行攻击,该漏洞出现在newplayer() 函数创建player object的过程中,以null作为创建对象的参数,迫使Adobe Reader在创建player object的参数检查时抛出异常,并在其处理函数中访问了未初始化完成的对象指针,造成系统异常,如图一所示。
(图一)
同时,攻击者结合堆扩散技术,将有害的恶意代码注入到系统堆空间,使其获得系统的控制权。如图二所示。
(图二) 赛门铁克会密切关注针对该漏洞的攻击发展趋势,并将及时更新病毒定义库。 与此同时, 我们建议用户在打开邮件附件,尤其是来路不明的邮件附件时格外留意,不要给不法分子可趁之机。 更新: 赛门铁克已发布Bloodhound.Exploit.288,用以检测针对该漏洞的攻击。 同时,Adobe在其官方博客发表声明,可能与明年1月发布针对该漏洞的补丁程序。