研究人员：零日PDF漏洞影响Adobe Reader 11，早期版本

来自安全公司FireEye的研究人员声称，攻击者正在积极使用远程代码执行漏洞，该漏洞与最新版本的Adobe Reader 9,9,10和11.

“今天，我们发现一个PDF零日漏洞正在被野外利用，我们观察到最新的Adobe PDF Reader 9.5.3,10.1.5和11.0.1“，FireEye的研究人员周二晚些时候在一篇博客文章中称。

漏洞在系统上丢弃并加载两个DLL文件。 FireEye的研究人员表示，一个文件显示一个伪造的错误消息并打开一个用作诱饵的PDF文档。

[更多阅读：如何从Windows PC删除恶意软件]

远程代码执行漏洞经常导致目标程序崩溃。在这种情况下，假错误消息和第二个文档很可能用来诱使用户认为崩溃是简单故障的结果，并且程序已成功恢复。同时，第二个DLL会安装一个恶意组件回到远程域，FireEye的研究人员说

不清楚PDF漏洞是如何通过电子邮件或通过Web传递的，或者是使用它的攻击的目标。 FireEye的研究人员在博客文章中称，FireEye没有立即回复关于周三发送的其他信息的请求。

“我们已经将样本提交给了Adobe安全团队。 “在我们得到Adobe确认并制定了缓解计划之前，我们建议您不要打开任何未知的PDF文件。”

Adob​​e产品安全事件响应小组（PSIRT）周二在一篇博客文章中证实，它正在调查报告Adobe Reader和Acrobat XI（11.0.1）中的漏洞以及在野外正在开发的早期版本。该团队表示，正在评估客户面临的风险。

为响应周三发送的状态更新请求，Adobe公司通讯高级经理Heather Edell表示，该公司仍在调查中。

Sandboxing is一种反开发技术，在严格控制的环境中隔离程序的敏感操作，以便即使在利用程序代码中的传统远程代码执行漏洞之后，也能防止攻击者在底层系统上编写和执行恶意代码。

成功针对沙盒程序的攻击必须利用多个漏洞，其中包括允许漏洞从沙箱中逃逸的漏洞。这种沙箱旁路漏洞很少见，因为实现沙盒的代码通常都经过仔细审查，与程序的可能包含漏洞的整个代码库相比，其长度相当小

Adob​​e添加了沙盒机制来隔离称为Protected的写操作在Adobe Reader中的模式10.通过第二种称为Protected View的机制，沙盒进一步扩展到了Adobe Reader 11中的只读操作。

早在11月，俄罗斯安全公司Group-IB的安全研究人员就报告说Adobe Reader 10和11的一项漏洞在网络犯罪论坛上以3万美元至5万美元的价格出售。该漏洞的存在当时未得到Adobe的确认

“在沙箱推出之前，Adobe Reader是网络犯罪分子最有针对性的第三方应用程序之一，”防病毒高级电子威胁分析师Bogdan Botezatu供应商BitDefender周三通过电子邮件表示。 “如果这一点得到证实，在沙盒中发现一个洞将是至关重要的，并且肯定会被网络犯罪分子大规模利用。”

Botezatu认为绕过Adobe Reader沙箱是一项艰巨的任务，但他预计这会在某个时候发生，因为大量的Adobe Reader安装使该产品成为网络犯罪分子的有吸引力的目标。 “不管有多少公司投入测试，他们仍然不能确保他们的应用程序在部署在生产机器上时没有bug。”不幸的是，Adobe Reader用户没有太多的选择来保护自己，如果Botezatu说，除了非常小心打开文件和链接之外，沙盒绕过漏洞实际上是存在的。他说，用户应该在补丁可用时立即更新他们的安装，