Computerworld News Service: Der går hele fire uger, inden Adobe vil rette den nyeste sårbarhed i virksomhedens PDF-software, trods det, at angrebs-kode allerede er udsendt.
I en opdatering til den sikkerhedsvejledning, virksomheden udsendte tirsdag, fortæller Adobe, at sikkerhedsopdateringerne vil blive udsendt 12. januar 2010, hvilket svarer til den næste skemalagte, kvartårlige opdaterings-dag for Adobe Reader og Adobe Acrobat.
Størstedelen af sikkerhedsvejledningen bestod af en bekræftelse af fejlen - som virksomheden første gang afslørede eksistensen af mandag - og en vejledning i, hvordan man blacklister det JavaScript-opkald, der indeholder fejlen.
Andre sikkerhedseksperter anbefaler brugerne at slå JavaScript helt fra i Reader og Acrobat, indtil Adobe får løst problemet.
Adobes plan om at opdatere i næste måned betyder, at de fleste brugere vil være i farezonen indtil da. Der er allerede blevet udviklet en brugbar, om end ikke helt pålidelig, 'exploit' til sårbarheden.
HD Moore, skaberen af det open source-baserede Metasploit-rammeværk til penetrations-test og sikkerhedschef for sikkerhedsfirmaet Rapid7, fortalte i går, at han havde udviklet en angrebskode til Reader/Acrobat 0-dagssårbarheden.
"Det lykkedes os at lave en exploit hurtigere, end jeg havde regnet med," lød det fra ham i en e-mail til Computerworld i går. "Den er nu tilgængelig via Metasploits online opdaterings-feature."
Hackere er allerede i gang
HD Moore har desuden annonceret exploit-modulet via sin Twitter feed.
Exploiten er dog ikke 100 procent pålidelig. I et svar til en tweet, hvor HD Moore blev spurgt, hvorfor Metasploit exploit-modulet ikke virkede for en bruger, forklarede han: "problematisk bug og en del ikke-engelske 'locales overlap med heap spray', vi burde have en opdatering snart."
I modsætning til andre rammeværk til penetrationstest - som for eksempel CANVAS, der er udviklet af Immunity, der holder til i Miami Beach - så opkræver Metasploit ingen penge for sine exploits. Det betyder, at angrebskoden er tilgængelig for både hackere og legitime sikkerhedseksperter.
Nu hvor Metasploit har udviklet en exploit, er risikoen for et snarligt angreb blevet meget større, siger Joshua Talbot, der er sikkerhedschef ved Symantecs security response team, med en henvisning til den hjælp, hackere nu har fået fra HD Moores arbejde.
HD Moore forsvarer til gengæld Metasploits metode med at udbyde de brugbare exploits til alle.
"Eftersom fejlen er 1) offentlig tilgængelig og 2) generelt udnyttet, føler vi at tilføjelsen af et exploit-modul er en rigtig taktik, der gør det muligt for folk på en sikker måde at fastslå, om deres metoder til bekæmpelse rent faktisk virker," skriver HD Moore i en e-mail tirsdag.
Hackere er allerede i gang med at udnytte Adobe-fejlen, siger Joshua Talbot fra Symantec, selv om antallet af angreb stadig er småt og ofrene endnu ikke er så mange. De berørte brugere har modtaget en e-mail med en vedhæftet PDF-fil under dække af at være en briefing eller en anmodning om et interview til CNN.
Ifølge hjemmesiden Contagio malware dump, som har lagt flere eksempler på angrebs-beskeder ud, er Adobe-fejlen blevet udnyttet i hvert fald siden 30. november.
De målrettede angreb har udnyttet sårbarheden i Reader og Acrobat til at placere malware, der er designet til at stjæle informationer, på ofrenes computere, fortæller Symantec i sin tekniske beskrivelse af angrebskoden.
Oversat af Marie Dyekjær Eriksen
