Eksperci z RamzAfzar zmodyfikowali wadliwą bibliotekę DLL, wchodzącą w skład Adobe Readera - zmienili w niej parametr, który umożliwia zawieszenie programu lub, w specyficznych okolicznościach, uruchomienie złośliwego kodu. Aby zabezpieczyć czytnik, użytkownik musi pobrać ze strony firmy plik CoolType.dll i zastąpić nim oryginalną wersję, umieszczoną w folderze Windows.

Firma uznała, że poprawka powinna zostać przygotowana, ponieważ usuwa ona z Readera wyjątkowo groźny błąd, na który powstał już skuteczny exploit. Sytuacja jest o tyle poważna, że exploit potrafi ominąć dwie najważniejsze bariery ochronne Windows - systemy ASLR (Address space layout randomization) oraz DEP (date execution prevention).

Zobacz również:

• Canva dokonuje największego przejęcia w pościgu za Adobe
• Luka w zabezpieczeniach WordPress

Przestępcy już od kilkunastu dni wykorzystują tę lukę do atakowania użytkowników - masowo rozsyłając e-maile, do których załączony jest plik PDF z osadzonym exploitem. Atak skierowany jest przede wszystkim przeciwko użytkownikom z USA (z treści e-maila wynika, że PDF zawiera informacje o grze golfa).

Pierwsze testy przeprowadzone przez niezależnych ekspertów, wykazały, że poprawka przygotowana przez RamzAfzar robi dokładnie to, co powinna (to znaczy usuwa lukę) i nic poza tym - użytkownicy nie powinni więc obawiać się, że wprowadzą do systemu jakiś szkodliwy kod. Takie testy przeprowadził m.in. ceniony specjalista ds. bezpieczeństwa, Didier Stevens (który swego czasu zasłynął znalezieniem kilku poważnych luk w Adobe Readerze).

Przedstawiciele Adobe przyznają, że poprawka działa - "Wygląda na to, że podmiana DLL rzeczywiście uniemożliwia wywołanie zawieszenia aplikacji, ale zastrzegam, że nie przeprowadziliśmy na razie szczegółowych testów" powiedziała przedstawicielka firma. Ale jednocześnie odradzają użytkownikom jej instalowanie - tłumacząc, że nigdy nie powinni instalować plików DLL pochodzących z niewiadomego źródła.

W rewanżu specjaliści z RamzAfar ostro skrytykowali Adobe - "Nie mieliśmy dostępu do kodu źródłowego, a mimo to usunęliśmy błąd w dwie godziny. Oni mają kod, a mimo to od 20 dni nie zdołali przygotować poprawki".

"Nieautoryzowane" poprawki pojawiają się niezbyt często - ale od czasu do czasu o nich słyszymy. W przygotowywaniu takich nietypowych uaktualnień swego czasu specjalizowała się grupa specjalistów ds. bezpieczeństwa o nazwie ZERT (Zeroday Emergency Response Team), która w latach 2006 i 2007 opublikowała kilka poprawek dla Windows i Internet Explorera. Swego czasu pojawiło się również podobne uaktualnienie dla Adobe Readera - w lutym 2009 opublikował je Lurene Grenier.

Dodajmy, że według terminarza podanego przez Adobe, oficjalna poprawka dla Readera pojawi się za ok. dwa tygodnie.