Adobe Reader must die (again)
Так называемый экономический кризис, очевидно, в первых рядах выкосил системных администраторов и вебмастеров. За последнюю неделю я три раза столкнулся с сайтами приличных организаций, зараженными троянами, атакующими Adobe Acrobat Reader. Причем на сайте Беталинк троян висит уже неделю (все ушли на фронт?), а на onlinetrade.ru замечен сегодня (не нажимайте на нем ссылку "Каталог").
После посещения сайта и падения ридера, а за ним и фаерфокса, запущенный CureIt обнаружил в “%userprofile%\LOCALS~1\Temp\” несколько файлов с именами типа “plugtmp-6\plugin-pdf.php”, инфицированных “Exploit.PDF.4”. Найти описание этого трояна на сайте DrWeb не удалось, так что не очень понятно, заразился ли компьютер чем-то или все ограничилось падением мусора в tmp и крашем ридера.
Исследование показало, что в начале ноября в продуктах Adobe была обнаружены уязвимость, позволяющая запускать на атакуемых компьютерах произвольный код. Уязвимость, традиционно, за счет переполнения буффера. Видимо, пройдет 1000 лет, а звездные корабли будут падать и взрываться от переполнения буфферов в каком-нибудь legacy коде на C/C++.
Адобе, традиционно, предлагает всем апдейтнуться (какого вообще черта оно само об апдейтах не предупреждает, как Firefox?). Версию 9 вы, при желании, найдете сами. А вот тем, кто хочет остаться на 8-ой (в 8.1.3 уязвимости типа исправлены), придется проявить смекалку, или воспользоваться прямой ссылкой (которую я нашел с большим трудом).