CVE-2009-4324

Adobe Acrobat and Reader

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

Use-after-free vulnerability in Adobe Acrobat and Reader allows remote attackers to execute code via a crafted PDF file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2009-4324 представляет собой критическую уязвимость класса Use-after-free (использование памяти после освобождения) в компоненте Adobe Reader и Acrobat. Проблема локализована в реализации метода Doc.media.newPlayer интерпретатора JavaScript.

При обработке специально сформированного PDF-файла злоумышленник может вызвать преждевременное освобождение объекта в памяти, а затем обратиться к нему. Это позволяет перехватить поток выполнения программы (EIP control) и выполнить произвольный вредоносоный код (RCE) в контексте текущего пользователя. Уязвимость активно эксплуатировалась в "дикой среде" через методы социальной инженерии и вредоносные вложения в электронную почту.

Как исправить

Основным способом устранения является обновление программного обеспечения до версий, в которых данная ошибка исправлена. Adobe устранила эту уязвимость в плановых обновлениях от января 2010 года.

  1. Для пользователей Windows и macOS необходимо обновить Adobe Reader или Acrobat до версии 9.3 или 8.2.

  2. Если используется Adobe Reader под UNIX/Linux, необходимо обновить версию до 9.3.

  3. Проверить наличие обновлений через интерфейс программы: Help (Справка) -> Check for Updates (Проверить наличие обновлений).

  4. В корпоративной среде рекомендуется развертывание актуальных MSI-пакетов через SCCM или GPO.

Временные меры

Если немедленное обновление невозможно, необходимо применить защитные настройки для снижения поверхности атаки.

1. Отключение JavaScript в Adobe Reader/Acrobat Это наиболее эффективная мера, так как эксплойт опирается на выполнение JS-кода. В меню: Edit -> Preferences -> JavaScript снимите галочку с Enable Acrobat JavaScript.

Для применения через реестр (Windows):

reg add "HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs" /v bEnableJS /t REG_DWORD /d 0 /f

2. Включение режима защищенного просмотра (DEP/ASLR) Убедитесь, что в системе включена функция предотвращения выполнения данных (DEP) для всех программ.

3. Использование альтернативного ПО В качестве временной меры используйте встроенные средства просмотра PDF в современных браузерах или альтернативные легковесные просмощтрики, которые не поддерживают сложный JavaScript в PDF.

4. Блокировка подозрительных вложений Настройте почтовый шлюз на блокировку или карантин PDF-файлов, содержащих JavaScript-объекты (фильтрация по ключевым словам /JS или /JavaScript внутри PDF-структуры).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей