該漏洞最初是在 SecurityFocus 網站上公佈。該公告中表示,攻擊者可以利用此漏洞以使用者執行該應用軟體的權限,執行任意程式碼。
對此,Adobe 做出了簡短的確認。該公司安全計畫經理 David Lenoe 表示,Adobe 得知 Adobe Reader 9.1 與 8.1.4 中潛在漏洞的報告,他們目前正在進行調查。儘管 Adobe 表示計畫對 Windows、Mac 與 Unix 上的所有受影響版本,提供安全更新以解決此事,但目前尚未有明確時程。此外,該公司補充說,目前並無因為該漏洞而遭受攻擊的消息傳出。
根據 SecurityFocus,Linux 上的 Adobe Reader 8.1.4 和 9.1 存有此漏洞。而 Windows 和 Mac 上的版本也可能存有漏洞。
而根據 US-CERT 的報告,該漏洞是由 getAnnots 這個 JavaScript 函數中的錯誤所造成。為了減輕其影響,US-CERT 建議使用者關閉 Adobe Reader 的 JavaScript 功能。使用者可以透過編輯 (Edit) 的偏好設定 (Preferences),選擇 JavaScript 類別,將啟動 Acrobat JavaScript (Enable Acrobat JavaScript) 的項目取消勾選。
這次的安全報告令人回想起 3 月時,Adobe 曾發佈針對 Adobe Reader 9、Acrobat Reader 9 與早期版本中的一項跨平台漏洞。當時攻擊者已經利用該漏洞至少 6 週之久。該公司從 3 月 10 日起針對 Reader 9 發佈修補程式,並以為期 1 週的間隔,陸續修補 Reader 8 與更早期的版本。
nCircle Network Security 安全作業總監 Andrew Storms 指出,這次的事件跟 2 月那次非常相似。當時一連串爆發出許多 JavaScript 上的問題,現在我們看到的好像又是 JavaScript 漏洞。
在日前舉辦的 RSA 安全會議上,F-Secure 的首席研究者 Mikko Hypponen 表示,網際網路使用者應該改用替代性的 PDF 閱讀軟體。PDFReaders.org 網站上提供了相關的軟體清單。
Storms 不願指出可能的替代方案,他說,Adobe 產品線的確是為企業而設計,其他產品或許很難替代。不過,當 Adobe 產品一下子出了這麼多狀況,用戶必須問問自己,是否值得支持 Adobe?
Adobe 上次坦承產品漏洞前,已先一步發現相關攻擊事件的 Symantec,針對其 honey pot 網路是否已經發現利用這次的新漏洞的 PDF 檔案,則並未立即回應。
相關網址:
1.Adobe Reader 被發現有嚴重 JavaScript 漏洞
2.另一項 Adobe Reader 安全漏洞
3.新漏洞瞄準 Adobe Reader