Adobe Reader dasturidagi jiddiy zaiflik uchun vaqtinchalik yamoq chiqarildi.
Vaqtinchalik yamoq, hujjat tarmoqdagi faylga kirishga urinayotganda, UNC orqali uslublar jadvallarini yuklashda ogohlantirish qo’shadi.
ACROS xavfsizlik mutaxassislari Adobe Reader dasturida tajovuzkorlarga NTLM xeshlarini o’g’irlashga imkon beruvchi xavfli zaiflikni tuzatuvchi vaqtinchalik yamoqni chiqardilar. Ushbu zaiflik (hali CVE identifikatori tayinlanmagan) PDF hujjatiga ochilgandan so’ng darhol serverga SMB so’rovini avtomatik ravishda yuborish imkonini beradi. SMB protokoli dastur yoki foydalanuvchiga masofaviy serverdagi fayllarga kirish imkonini beradi. SMB so’rovlari orasida tajovuzkorlar o’g’irlashi mumkin bo’lgan NTLM (NT LAN Manager) xeshlari mavjud. Bundan tashqari, zaiflik tajovuzkorga foydalanuvchi hujjatni qachon ko’rganini aniqlash imkonini beradi.
Zaiflik Adobe Reader DC ning so’nggi versiyasiga (2019.010.20069) ta’sir qiladi va tadqiqotchilar dasturiy ta’minotning oldingi versiyalariga ta’sir qilishi mumkin deb hisoblashadi.
Zaiflik xavfsizlik tadqiqotchisi Aleks Infyur tomonidan 2019-yil yanvar oyi oxirida aniqlangan. U shuningdek, undan foydalanish uchun kontseptsiyani isbotlash kodini nashr etdi.
Aniqlangan muammo PDF hujjat elementidagi ilgari tasvirlangan CVE-2018-4993 zaifligiga o’xshash edi, bu esa masofaviy ommaviy resursdan boshqa PDF faylini avtomatik ravishda yuklab olish imkonini berdi. Adobe ushbu muammoni hujjat masofaviy ommaviy papkaga so’rov yuborishga urinayotganda ogohlantirish qo’shish orqali hal qildi.
Masofaviy fayllarni yuklash uchun /F yozuvidan foydalanadigan CVE-2018-4993 dan farqli o’laroq, yangi zaiflik SMB so’rovlari orqali masofaviy XML uslub jadvallarini yuklash imkoniyatidan foydalanadi. Qizig’i shundaki, XML uslub jadvallarini HTTP orqali yuklashda tegishli bildirishnoma ko’rsatiladi, ammo UNC yo’lidan foydalanilganda hech qanday ogohlantirish berilmaydi.
Vaqtinchalik yamoq, hujjat tarmoqdagi faylga kirishga urinayotganda, UNC orqali uslublar jadvallarini yuklashda ogohlantirish qo’shadi. Adobe vakillarining aytishicha, kompaniya bu hafta rasmiy yamoqni chiqarishni rejalashtirmoqda.
