Ochrona przed atakami na programy Adobe Reader i Acrobat

Niedawno pisaliśmy o groźnej luce w programach Reader i Acrobat firmy Adobe. Okazuje się, że można dosyć prosto zabezpieczyć się przed atakami wykonywanymi z jej wykorzystaniem.

Błąd istnieje w bibliotece CoolType.dll i związany jest z przetwarzaniem wpisów uniqueName w tabelach SING w czcionkach. Istniejące exploity wykorzystują Return Oriented Programming (ROP) do obejścia zabezpieczenia DEP. Nie są też powstrzymywane przez mechanizm ASLR ponieważ nie jest on włączony dla biblioteki icucnv36.dll. Można jednak wymusić jego aktywację dla procesu Acrobat Readera dzięki narzędziu Microsoftu o nazwie Enhanced Mitigation Experience Toolkit 2.0. Użycie programu EMET do ochrony przed atakami jest bardzo proste i sprowadza się do wydania jednej komendy.

Termin wydania poprawki przez Adobe nadal nie jest znany.