Onofficiële patch voor ernstig Adobe Reader-lek
Een Turks beveiligingsbedrijf heeft een onofficiële patch voor een ernstig lek in Adobe Reader ontwikkeld. Naar eigen zeggen had Ramz Afzar twee uur nodig om de update te ontwikkelen. Aangezien het bedrijf niet over de broncode van Adobe Reader beschikte, was het gedwongen om tot "binair patchen" over te gaan. "In eerste instantie wilden we het patchen door een nieuw gedeelte toe te voegen en daar onze code te schrijven, maar besloten uiteindelijk toch voor inline patching te kiezen."
Volgens het beveiligingsbedrijf gaat het om een zeer gevaarlijk lek in de Adobe Reader en zijn voorbeelden en exploits op tal van beveiligingssites te vinden. "Aanvallers kunnen deze exploit voor hun eigen doeleinden gebruiken", aldus de beveiliger. Aangezien Adobe pas volgende maand met een update komt, koos men voor een eigen oplossing. "We ontdekten dat het op 4 oktober gepatcht wordt. Dat is een erg lange periode voor klanten om kwetsbaar te zijn en op het internet te navigeren."
Acrobat
Ramz Afzar laat weten dat het ook op de hoogte van een lek in Acrobat is, maar dat het hier nog geen voorbeeld exploit van heeft ontvangen. Mocht het die ontvangen, dan zal het ook hiervoor een patch ontwikkelen. Deze exploit zou nog niet veel misbruikt worden en is ook nog niet publiek beschikbaar. Het gebruik van onofficiële patches wordt in de meeste gevallen door de leverancier afgeraden. Gebruik van deze patch is dan ook geheel op eigen risico.
De bewuste strcat call wordt vervangen door een strncat call, met n = 160.
Het is theoretisch mogelijk dat de stabiliteit van het OS ondergraven wordt door deze patch, maar hier acht ik dit zeer onwaarschijnlijk.
Vergeet niet dat jouw Adobe Reader voor het ogenblik reeds onstabiel is. Als je een PDF document opent waar de bewuste SING parameter te groot is (we spreken nog niet van een exploit), dan zullen variabelen op de stack overschreven worden en zal Adobe Reader uiteindelijk crashen.
Met de patch worden deze variabelen niet overschreven, en behoud de stack tenminste zijn integriteit. Of er verder in het uitvoeren van de code problemen zullen onstaan door deze patch, weten we niet.
Laat ons de verschillende scenarios bekijken:
- je opent een PDF zonder SING parameter -> de bewuste code wordt niet uitgevoerd. Dus geen verschil tussen origineel en patch.
- je opent een PDF met SING parameter die niet te groot is -> de bewuste code wordt uitgevoerd. Resultaat van strcat en strncat is identiek. Dus geen verschil tussen origineel en patch.
- je opent een PDF met SING parameter die te groot is -> de bewuste code wordt uitgevoerd.
Resultaat van strcat: stack variabelen overschreven -> Adobe Reader instabiel
Resultaat van strncat: stack variabelen niet overschreven -> Adobe Reader stabiel, maar wordt later mogelijks instabiel door ongekende gevolgen patch.
Dus in dit geval ben je er qua stabiliteit niet slechter af.
Persoonlijk acht ik het risico dus laag. Maar dit betekent nog niet dat het een goed idee is om deze patch in je organisatie toe te passen. Hangt ervan af hoe kostelijk dit is.
Maar voor thuis gebruik kan je dit gerust doen.
Opmerking: iemand van Adobe heeft mij ooit gezegd dat updaten een bijkomend risico van dergelijke patchen. Hij beweerde dat zulke patch het Adobe update process kan doen falen.
strncat() is een vreemde API die heel vaak verkeerd gebruikt word; het size argument is NIET de buffer size, maar het aantal bytes dat toegevoegd moet worden. strncat() schrijft ook nog een '\0' buiten deze size. Correct gebruik is dus:
strncat(dst, src, sizeof(dst) - strlen(dst) - 1);
Zonder de - 1 heb je een off-by-one. De size moet dus altijd berekent worden op basis van de al aanwezige data in dst.
strncat(dst, src, 0xa0); kan dus nog even goed een overflow veroorzaken tenzij 'dst' leeg is. Als er toevallig al een string in dst zit die heel sizeof(dst) - 1 in beslag neemt schrijf je dus bytes buiten de boundaries van dst.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.