如果您认为可以安全地下载PDF文档并查看一次 土坯 终于在下周发布了补丁,再三考虑。上周IT安全顾问Didier Stevens 证明的 只需查看其中包含损坏的PDF文档的文件夹 微软’Windows资源管理器足以启动漏洞利用程序。


看来这是由于Adobe’Windows资源管理器的Shell扩展,它允许通过三种方式调用恶意代码;将鼠标悬停在PDF文档上时,单击PDF文档或查看缩略图。

土坯 Acrobat Reader 安装一个 外壳扩展,这是资源管理器执行的用于检索元数据的代码(在本例中为PDF文件)。 土坯 Shell扩展添加了这些额外的数据,以便用户可以在Windows资源管理器中快速查看有关文件的详细信息。详细信息,例如标题,作者,主题,大小和缩略图;工具提示中通常会出现的详细信息。

史蒂文斯创建了一个PDF,该PDF不仅利用主要文档信息内的漏洞,还利用其元数据来利用此漏洞。使用此技术,他能够通过执行以下操作使Windows资源管理器崩溃:

  1. 在文件夹中选择一个易受攻击的PDF文档
  2. 查看包含易受攻击的PDF文档的文件夹的缩略图。
  3. 将鼠标悬停在易受攻击的PDF文档上

“在适当的情况下,Windows资源管理器外壳程序扩展程序将读取PDF文档以提供其他信息,并在此过程中执行错误代码并触发漏洞。就像您显式打开文档时一样,” Stevens explained.

史蒂文斯(Stevens)的概念证明导致资源管理器崩溃,但是,具有可疑意图的人可以利用此漏洞潜在地在系统上执行他们喜欢的任何事情。

土坯 公认的 2009年2月19日,所有版本的Adobe Reader中都存在此漏洞,并将其分类为关键问题。预计下周将对Reader 9和Acrobat 9进行更新。

不幸的是,Adobe’有关禁用此新功能的建议是无效的,因此我们建议您选择John Paczkowski’几周前的建议: 土坯AcrobatUninstall.exe

注意:史蒂文斯(Stevens)制作了一个简短的视频,展示了如何触发这些漏洞。我们’ve嵌入下面。