TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	微軟安全通報
發佈日期	2011-12-19
標題	Adobe Acrobat與Reader的U3D memory corruption弱點
CVE	CVE-2011-2462
BID
影響平台	•Adobe Reader X (10.1.1) and earlier 10.x versions for Windows and Macintosh •Adobe Reader 9.4.6 and earlier 9.x versions for Windows, Macintosh and UNIX •Adobe Acrobat X (10.1.1) and earlier 10.x versions for Windows and Macintosh •Adobe Acrobat 9.4.6 and earlier 9.x versions for Windows and Macintosh
說明	Adobe Reader對於3D內容所支援的格式分別為U3D與PRC。U3D技術是透過Right Hemisphere 3DIF import filter所實作。由於U3D parser的弱點，使得攻擊者可以在系統中執行任意的程式碼。影響：攻擊者會讓使用者檢視包含U3D內容的已損毀PDF文件，透過這個弱點在使用者系統中執行任意程式碼。這個弱點已被攻擊者廣泛的利用，在網路上亦可搜尋到針對此弱點的攻擊碼。
解決方式	Adobe在APSA11-04中表示：我們正致力於修復此問題，預計將在2011年12月12日之前為Windows版本的Adobe Reader與Acrobat 9.x提供更新。預計在2012年1月10日為Macintosh版本的Adobe Reader、Acrobat X與更早的版本以及UNIX版本的Adobe Reader 9.X提供更新。以下為目前暫時解決辨法： 移除或限制對3difr.x3d檔案的存取移除或限制對3dirf.x3d檔案的存取，可中止Adobe Reader與Acrobat對U3D格式的支援，但這並不會對PRC格式造成影響。請參考以下作法： 1.Windows用戶可以刪除或重新命名以下檔案： "%ProgramFiles%\Adobe\Reader 9.0\Reader\plug_ins3d\3difr.x3d" 2.Mac OX X用戶可以刪除或重新命名以下目錄： "/Applications/Adobe Reader 9/Adobe Reader.app/Contents/Frameworks/Adobe3D.framework" 3.GNU/Linux用戶可以刪除或重新命名以下檔案(目錄位置依distributions不同而有所不同)： "/opt/Adobe/Reader9/Reader/intellinux/plug_ins3d/3difr.x3d" 根據APSA11-04，以下措施可解決此弱點 Adobe Reader X Protected Mode與Adobe Acrobat X Protected View可以避免此弱點為攻擊者所利用。要確認Acrobat Protected View是否可用，可到Edit >Preferences > Security (Enhanced)中確認"Files from potentially unsafe locations" 或 "All files"是否啟用。要確認Adobe Reader X Protected Mode是否可用，可到Edit >Preferences >General確認"Enable Protected Mode at startup"是否啟用。 使用Microsoft Enhanced Mitigation Experience Toolkit Microsoft Enhanced Mitigation Experience Toolkit可避免此弱點被利用。 啟用Microsoft Windows中的Data Execution Prevention (DEP) Data Execution Prevention (DEP)並非完整的解決辨法，但在某些情況下可以克服此弱點。Microsoft在Security Research & Defense blog中張貼名為"Understanding DEP as a mitigation technology"的文章，分別在part1與part2中詳細描述DEP的技術。要使用DEP，系統必需支援Address Space Layout Randomization (ASLR)。ASLR只支援Windows Vista與Windows Server 2008之後的作業系統，並不支援Windows XP、Windows Server 2003以及更早的作業系統，詳細資訊可參考On the effectiveness of DEP and ASLR。 中止Adobe Reader與Acrobat對JavaScript的支援中止對JavaScript的支援將可減少被攻擊的機會。要中止Adobe Reader對JavaScript的支援，請參考以下作法： 1.Open Adobe Acrobat Reader. 2.Open the Edit menu. 3.Choose the Preferences... option. 4.Choose the JavaScript section. 5.Uncheck the Enable Acrobat JavaScript checkbox. Note：每次開啟包含JavaScript內容的PDF文件都會使Adobe Reader與Acrobat重新啟用對JavaScript的支援。 避免瀏覽器自動開啟PDF文件 Adobe Reader與Acrobat安裝程式在安裝時會主動更改瀏覽器的設定，讓瀏覽器自動開啟PDF文件。將以下內容存成.REF檔案並匯入Registry，便可修改這項設定： [HKEY_CLASSES_ROOT\AcroExch.Document.7] "EditFlags"=hex:00,00,00,00 不透過瀏覽器顯示PDF文件不透過瀏覽器顯示PDF文件將可減少被攻擊的機會。要避免PDF文件在瀏覽器中顯示，請參考以下作法： 1.Open Adobe Acrobat Reader. 2.Open the Edit menu. 3.Choose the Preferences... option. 4.Choose the Internet section. 5.Uncheck the Display PDF in browser checkbox.
相關資訊連結	https://www.adobe.com/support/security/advisories/apsa11-04.html
相關修正資訊連結