Hogere dreiging Java en Acrobat #0day's

Waar maart 2010 bijna de boeken in kan gaan als een maand van de browser kwetsbaarheden, scoort april hoog op kwetsbaarheden in browser plugins. Vorige week werden twee ernstige kwetsbaarheden bekend in Acrobat en Java. Hoewel beide producten de afgelopen week met beveiligingsrelease kwamen, namen deze updates deze twee kwetsbaarheden helaas niet weg.

De Acrobat kwetsbaarheid maakt gebruik van de mogelijkheid om executables in een PDF te verwerken. Deze kwetsbaarheid was aanwezig in meerdere PDF-lezers, maar enkel de fox-it reader heeft vooralsnog een update uitgebracht. De Acrobat 9.3.2 update, waar Adobe dinsdag mee kwam verhelpt vele kwetsbaarheden, maar een correctie voor deze specifieke fout blijft vooralsnog uit.

De Java kwetsbaarheid maakt gebruik van een functie in Java webstart. Deze functie maakt het mogelijk om via een JAR bestand net als bij de Acrobat fout willekeurige programma's uit te voeren.

Doordat beide kwetsbaarheden inmiddels door hackers tot exploits zijn verwerkt en worden toegevoegd aan drive-by download "suites", neemt de dreiging van deze fouten flink toe. Organisaties doen er goed aan om de beschikbare work arrounds te implementeren.

Java
IE: killbit op CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA
IE: killbit op 8AD9C840-044E-11D1-B3E9-00805F499D93
Firefox: ACL op npdeploytk.dll

Acrobat
Blokkeren:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals, Name: bAllowOpenFile, Type: REG_DWORD, Data: 0
Voorkomen dat gebruikers de functie per abuis weer aanzetten:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals, Name: bSecureOpenFile, Type: REG_DWORD, Data: 1