Исследователь смог обойти исправления, привносимые заплаткой, которую разработчик выпустил неделю назад.
Прошло лишь девять дней после выхода плановых патчей для Acrobat и Reader, а компания Adobe вновь призывает обновить продукт. Оказалось, что патч, спешно созданный для бреши 0-day, можно обойти.
Уязвимость нулевого дня, о которой идет речь, разработчик закрыл в рамках февральского «вторника патчей». Возможность кражи NTLM-хешей в ходе автозагрузки таблицы стилей для XML-структур в PDF обнаружил эксперт Cure53 Алекс Инфюр (Alex Inf?hr), о чем он и поведал в своем блоге 26 января. Ввиду высокой опасности бреши (CVE-2019-7089) специалисты компании ACROS Security подготовили микропатч, который можно было поставить через бесплатную утилиту 0patch. Временная заплатка вышла за день до появления официального патча.
К сожалению, решение Adobe оказалось неполным. Проверяя надежность патча, Инфюр нашел способ обхода привносимых им изменений, и разработчикам пришлось исправлять свой промах.
«Adobe выпустила обновления для системы безопасности Adobe Acrobat и Reader, установленных на Windows и macOS, — сказано в новом бюллетене. — Эти обновления закрывают объявившуюся возможность обхода патча к CVE-2019-7089, который вышел 12 февраля в составе сборок 2019.010.20091, 2017.011.30120 и 2015.006.30475″.
Новой находке Инфюра был присвоен идентификатор CVE-2019-7815. «Успешная эксплуатация может привести к раскрытию конфиденциальной информации в контексте текущего пользователя», — так охарактеризовала Adobe эту брешь в бюллетене.
No it does not seem to properly patched as I discovered a bypass. Going to report the bypass to Adobe
— alex (@insertScript) February 13, 2019
Доработанному патчу назначен приоритет 2, так как уязвимости подвержен продукт, относящийся к группе повышенного риска. Данных об использовании CVE-2019-7815 в атаках на настоящий момент нет. Чтобы от избавиться от бреши, пользователям рекомендуется обновить продукты на обеих платформах следующим образом: