Citat:
combuster: A znas sta mi nije jasno, kad vec spominju Unix, kako ALI KAKO uspevaju da dobijaju root privilegije ? Niti izvrsavas Reader kao root niti sta... A haos koji bi mogli da naprave eventualno sa korisnickog naloga je pfff, smesna. Sad skidam ove slajdove i white paper - da vidim i ovo za OpenOffice.
U Windows varijanti, vezano uz jedan prošlogodišnji propust, Indexing Service je preko IFiltra Adobe Readera dobio mogućnost indeksiranja PDF datoteka, a tijekom tog procesa maliciozni objekt u PDF-u mogao je izazvati proizvoljno izvršavanje naredbi sa SYSTEM razinom prava koja su inherentna spomenutom servisu.
Iako postoji više koraka za ublažavanje napada u Readeru kao što su onemogućavanje JS-a, određenih multimedijalnih mogućnosti, izvršavanja drugih formata datoteka osim PDF-a, stroži nadzor instaliranih plug-ina, etc., ipak nisu svi sigurnosni propusti bili izvođeni JS-om (čija je implementacija posebno loša). Naravno, uz ove korake idu standardne procedure OS hardeninga.
Jedan od većih problema za Adobe, kao i za ostatak industrije, iznimno je malen broj korisnika koji redovito instaliraju patcheve, a još manji broj onih koji implementiraju pojačane konfiguracijske postavke u vremenu dok patch nije dostupan. Inače, ta nesigurna praksa glavni je razlog masovnih kompromitacija u svijetu. Samo da postoji redovni update OS-a i posebno 3rd party aplikacija (za koje većina korisnika tek mora shvatiti da ih je jednako važno ažurirati kao i OS, no recimo da generalno mehanizmi za update većine tih aplikacija nisu tako glatki u praksi kao za OS), PC wonderland bio bi mnogo ugodnije mjesto. Zato su Adobeu krenuli s regularnim terminima za update umjesto prijašnjih ad-hoc izlazaka koja nije bila dovoljno prepoznatljiva za Jožu.
Struktura PDF specifikacije obzirom na broj featurea i razinu programabilnosti vrlo je kompleksna. Adobe bi trebao detaljno pročešljati cijelu specifikaciju (hint: /launch) te je uskladiti sa (ne)sigurnom stvarnošću novog doba. Osim toga, najveći problem im je količina legacy koda koja nije obuhvaćena SPLC-om (Secure Product Lifecycle). Iako Reader (i ostali proizvodi te kuće koji pate od istih problema) nije Windows po kompleksnosti, riječ je o vrlo dugotrajnom i zahtjevnom procesu. Microsoft se susreo s tom mračnom stvarnošću 2002/3-e. Obje tvrtke, kao i sve ostale s gomilom legacy koda iz pravremena, doživjet će istu sudbinu.
Adobe bi također trebao biti oprezniji i ne žuriti s implementacijom sigurnosnih featurea, kao recimo JavaScript Blacklist Framework, koje predstavljaju korak u pravom smjeru ali u praksi djelomično adresiraju postojeće vektore napada jer nisu htjeli uložiti više vremena u kvalitetniji threat modeling. Suočavaju se naravno, i s problemom nesigurne defaultne konfiguracije jer ne žele da korisnik mora omogućavati dodatne mogućnosti. U tom slučaju treba pojednostavniti proces hardeninga Readera za Jožu jer on sigurno neće potrošiti vrijeme za traženje preporučenih postavki dok patch nije dostupan.
Većina korisnika Readera ozbiljno bi trebala razmotriti alternativne preglednike. I mean, PDF readeri s osnovnim mogućnostima zasigurno neće koristiti punu snagu PDF specifikacije, ali tko od nas zapravo treba te dodatne mogućnosti koje "moramo" onemogućavati svako malo zbog konstantnih 0-day oluja? To je ključno pitanje. Kroz moju Sumatru prolazi mnogo PDF-ova, i nikad nije bilo problema jer mi sve više od toga nije potrebno. Trebalo bi zaista razmisliti o tome prije nego što se posjeti get.adobe.com.
Prije nešto manje od dvije godine kada se PDF počeo masovno koristiti za eksploataciju PC wonderlanda, Adobe je rekao "We care". Zanimljivo kako je njihova sigurnosna inicijativa pravi zamah uzela baš u to vrijeme kada je već nekoliko high profile 0-daya kompromitiralo masu PC-a, a reputacija im se ubrzano srozavala. Tvrtka s takvom odgovornošću (ipak, gdje to Reader NIJE instaliran? ;-)), da joj je imalo stalo do korisnika, davnih bi dana na lekcijama Microsofta krenula s inicijativom koja je udahnula život u tek godini 2009. - kad je već bilo prekasno za sprečavanje masovnih eksploatacija osim konstatirati "Zajebali smo".
[Ovu poruku je menjao mkoscevic dana 04.08.2010. u 21:39 GMT+1]