dimecres, 7 de novembre del 2007

'Exploit' en arxius pdf

Acaba de publicar-se la primera prova de concepte de com es pot executar codi arbitrari en un Windows XP SP 2 totalment actualitzat (Internet Explorer 7 inclós) només obrin amb l'adobe acrobat reader 8.1 un pdf amb codi maliciós.
La prova està basada en les investigacions de Petko D.Petkov i es tracta d'un bug en el tractament d'URLs en la funció shell32!ShellExecute() de windows.
Per executar la demostració n'hi ha prou amb descarregar-se el fitxer maliciós en pdf i tot seguit obri'l directament amb l'acrobat, no utilitzant l'explorer mitjançant ActiveX.
La versió actual de l'exploit pot executar un comandament de windows xp que deshabiliti el seu firewall, llançar el comandament FTP del mateix windows per descarregar codi maliciós per després executa'l, tot això fent simplement doble clic sobre un arxiu pdf.

Software afectat: Adobe Reader 8.1 (i anteriors)
Adobe Acrobat Standard
Adobe Acrobat 3D


,