Cisco Talos, исследовательское подразделение компании Cisco, специализирующееся на исследовании информационной безопасности программных продуктов, в своем блоге обнародовала очередную уязвимость в Adobe Acrobat Reader DC.

Суть выявленной уязвимости заключается в выполнении специфичного JavaScript-кода, внедренного в PDF-документ, который ведет к подмене типов объектов при открытии документа. Сообщается, что уязвимой является версия Adobe Acrobat Reader 2018.011.20038. При помощи аккуратной манипуляции с исполняемым кодом и памятью приложения возможно добиться выполнения произвольного кода, внедренного злоумышленником в PDF-документ.

Как работала уязвимость?
Для запуска зловредного кода пользователю необходимо открыть сам PDF-документ, как загруженный из Интернета, так и полученный по e-mail, или загрузить соответствующую веб-страницу.

Acrobat Reader поддерживает исполнение JavaScript-кода для организации интерактивного взаимодействия с пользователем. Это дает атакующему возможность установить контроль над памятью приложения и получить к ней доступ.
В частности, выполнением следующего фрагмента JavaScript-кода можно добиться выполнения особых условий, приводящих к повреждению памяти и выполнению произвольных команд:




this.event = this.Collab.drivers[0];
this.InitializeFormsTrackerJS();
this.Collab.drivers[0].getWorkspaceCreator(null, this);

Функция InitializeFormsTrackerJS() является недокументированной и ее вызов можно использовать следующим образом — вызвать функцию getWorkspaceCreator() с заданными параметрами, что приведет к разыменованию указателя на объект this.Collab.drivers[0] и, в конечном итоге, к подмене контроля над ходом выполнения программы и возможности исполнения произвольного кода. Технические подробности исполнения кода можно найти на официальном сайте компании.

Для выполнения уязвимости требуются более высокие привилегии, то есть они должны выполняться в PDF-файле, полученном из доверенного источника.

Это не первая уязвимость в Adobe Acrobat, обнаруженная Cisco Talos. Так, исследователями только в 2018 году было вскрыто три аналогичных уязвимости в отмеченном программном продукте. В мае 2018 года было опубликовано сообщение, касающееся вируса Telegrab, похищающего ключи шифрования Telegram.