PDF閱讀器漏洞帶來(lái)病毒解決方案

字號(hào):

大家知道網(wǎng)上共有多少PDF文件嗎?在Google中搜索PDF文件,一共可以搜索到三億四千八百萬(wàn)個(gè),每天上傳的PDF文件至少都在一萬(wàn)個(gè)以上,而當(dāng)前又正是上市公司發(fā)布PDF版年報(bào)的時(shí)候,閱讀PDF文件的人數(shù)無(wú)以計(jì)數(shù)??涩F(xiàn)在閱讀PDF文件,卻很可能引來(lái)病毒,為什么會(huì)這樣?那是Adobe Reader爆出了一個(gè)可以被病毒利用來(lái)傳播的漏洞,更可怕的是,該漏洞目前還沒(méi)有官方的補(bǔ)丁。
    最近,一個(gè)0Day漏洞被曝光,它就是Reader PDF文件處理緩沖區(qū)溢出漏洞。Adobe Reader是Adobe公司推出的專(zhuān)門(mén)用來(lái)看PDF文件的軟件。該0Day漏洞的出現(xiàn),會(huì)對(duì)我們帶來(lái)什么影響呢?
    該0Day漏洞會(huì)導(dǎo)致大量惡意PDF文件在網(wǎng)上泛濫。由于目前Adobe官方暫時(shí)還沒(méi)有推出補(bǔ)丁文件(到截稿為止都沒(méi)有),無(wú)法自動(dòng)升級(jí),很多人不知道自己使用的Adobe Reader存在漏洞,可能在毫不知情的狀況下打開(kāi)黑客特制的惡意的PDF文件,從而引來(lái)大量病毒。
    你能看出這個(gè)PDF文檔有問(wèn)題嗎?
    至于是什么樣的病毒,就看黑客自己的需要。如果他想竊取你的游戲賬號(hào)、網(wǎng)銀賬號(hào)、QQ賬號(hào)等,那么他就會(huì)植入盜號(hào)木馬。如果他有強(qiáng)烈的偷窺心理,那么他就會(huì)植入遠(yuǎn)程控制的木馬,總之威脅到你電腦的使用安全。
    那該漏洞對(duì)什么樣的用戶(hù)影響呢?是廣大的股民朋友。當(dāng)前正是上市公司發(fā)布年報(bào)的時(shí)候,而上市公司正式發(fā)布的年報(bào)是PDF版本(最初只有PDF版本,后來(lái)才有XBRL版本),很多資深的股民為了獲得上市公司更詳細(xì)的內(nèi)容,會(huì)下載觀看PDF版本。如果下載成了帶病毒的PDF文件,那……
    如果你說(shuō)你不看上市公司年報(bào),不就沒(méi)有事情了?哪也不一定,黑客還可以通過(guò)網(wǎng)頁(yè)掛馬的方式調(diào)用你電腦中的Adobe Reader軟件。Adobe Reader支持在瀏覽器中查看,這就給網(wǎng)頁(yè)掛馬制造了機(jī)會(huì)。黑客會(huì)制作一些充滿(mǎn)誘惑性的網(wǎng)頁(yè)誘使你訪問(wèn),一旦訪問(wèn)這種網(wǎng)頁(yè),就會(huì)激活漏洞,而木馬也偷偷地進(jìn)入了你的電腦。
    漏洞原理:在Adobe Reader的核心AcroRd32.dll模塊中,處理JBIG2Decode的圖形嵌入對(duì)象的時(shí)候,在計(jì)算復(fù)制地址時(shí)會(huì)出現(xiàn)緩沖區(qū)溢出的問(wèn)題。Adobe Reader程序解析JBIG2的代碼在操作的時(shí)候,會(huì)先讀取圖像大小然后進(jìn)行解壓縮操作,將解壓后的二進(jìn)制文件寫(xiě)入相應(yīng)的內(nèi)存地址。但是由于計(jì)算地址時(shí)未進(jìn)行認(rèn)真的檢驗(yàn),所以解析的數(shù)據(jù)超出了正常的內(nèi)存,最終造成數(shù)據(jù)溢出而出現(xiàn)漏洞。
    漏洞解決方案
    截止我們發(fā)稿,Adobe還沒(méi)有推出官方補(bǔ)丁,所以大家可以先使用一些安全廠商提供的修復(fù)工具。下面我們以《金山清理專(zhuān)家》為例(軟件下載地址:http://www.shudoo.com/bzsfot),講解一下如何修復(fù)該漏洞。
    第一步:首先運(yùn)行《金山清理專(zhuān)家》,點(diǎn)擊窗口中的“監(jiān)測(cè)”按鈕,當(dāng)修復(fù)工具發(fā)現(xiàn)系統(tǒng)存在該軟件漏洞后,只需要點(diǎn)擊“立即修復(fù)”按鈕即可。
    第二步:打開(kāi)Adobe Acrobat Reader ,點(diǎn)擊“編輯”菜單中的“首選項(xiàng)”命令。在彈出的窗口選擇“因特網(wǎng)”,取消“在瀏覽器中顯示PDF”選項(xiàng)前的對(duì)鉤,這樣就可以避免瀏覽器打開(kāi)PDF文件了。
    第三步:前面已經(jīng)提到該漏洞是由Javascript引起的。所以也可以在“首選項(xiàng)”窗口中,勾選“啟用Acrobat JavaScript”選項(xiàng)來(lái)禁用Acrobat中的JavaScript功能。
    最后打開(kāi)殺毒軟件(例如《金山毒霸》,下載地址:http://www.duba.net/download/index.shtml),升級(jí)病毒庫(kù)到最新版本,再進(jìn)行全盤(pán)查殺,徹底未打補(bǔ)丁這段時(shí)間可能已經(jīng)乘虛而入的病毒。