最新Adobe 零時差漏洞攻擊 使用者權限將大開

資訊安全廠商趨勢科技最近發現一個專門攻擊 Adobe Reader 和 Acrobat 9.1.3 版以及先前版本的零時差漏洞攻擊 (CVE-2009-3459)的木馬程式TROJ_PIDIEF.UO。其利用 .PDF 檔案內藏一個內嵌的 JavaScript（趨勢科技偵測到為JS_AGENTT.DT）。這個 JavaScript 專門利用一種稱為記憶體塗鴉 (heap spraying) 的技巧來執行任意程式碼。

根據趨勢科技Trend Labs 研究發現，塗鴉在記憶體中的一段所謂的 shellcode (一種精心製作的二進位程式碼) 會跳到 .PDF 檔案中的另一段 shellcode。這段程式碼會再從 .PDF 檔案解出另一個名為 BKDR_PROTUX.BD的後門程式並自動執行該檔案，此隻Protux 惡意程式變種最有名的地方就是能夠讓駭客擁有不受限制的使用者權限。不僅針對 Adobe，Protux 後門程式的早期變種也曾專門針對 Microsoft Office 檔案展開漏洞攻擊。
在Adobe 發表安全更新之前，趨勢科技建議使用者將 Adobe Acrobat/Reader 當中的 JavaScript 功能關閉，以防止上述攻擊。關閉步驟如下：
1.開啟 Acrobat 或 Adobe Reader。
2.前往 [編輯] > [偏好設定]。
3.在 [類別] 索引標籤上選擇 [JavaScript]。
4.取消勾選 [啟用 Acrobat JavaScript] 選項。
5.按一下 [確定]。
關於趨勢科技：