Sogeti slaat gat in Adobe Reader-sandbox

Een security-expert van Sogeti heeft een gat ontdekt in de extra sandbox-beveiliging die Adobe heeft ingevoerd voor Reader X. De gratis PDF-lezer is hierdoor kwetsbaar.

Adobe heeft in zijn sandbox van Reader X een fout gemaakt waardoor Windows' verdedigingdmechanismen ASLR (Address Space Layout Randomisation) en DEP (Data Execution Preventuion) zijn te omzeilen. De Adobe-software vertrouwt naast de eigen sandox-techniek op die twee anti-malwaremiddelen van Windows. Het blijkt dat de willekeurige geheugentoewijzing door ASLR niet echt random geheugenadressen oplevert voor Adobe's PDF-lezer.

Domino-effect
Dit is ontdekt door onderzoeker Guillaume Delugré van de Franse beveiligingsorganisatie Sogeti ESEC Lab. Hij stelt dat de PDF-reader van Adobe opmerkelijke gebreken vertoont. "Het is interessant om te zien hoe een fout in de implementatie van een beveiligingsmaatregel impact kan hebben op de efficiëntie van andere beveiligingsmaatregelen", concludeert Delugré in zijn blogpost.

De isolatietechniek die is ingebouwd in Reader X scheidt PDF-documenten - en mogelijke malware daarin - in verschillende sandboxes. De communicatie met het eigenlijke besturingssysteem gebeurt via een zogeheten broker. Dat Reader-proces draait dan met hogere privileges dan de geïsoleerde segmenten.

'Breekbaar onderdeel'
De opzet van de broker bevat echter een fout, ontdekt Delugré, waardoor ASLR zijn werk niet goed doet. De onderzoeker weet dit te misbruiken op de 64-bit uitvoering van Windows 7. Ondanks het gebruik van ASLR, dat Delugré een "erg breekbaar onderdeel" noemt, is hierdoor in te breken op pc's. De onderzoeker geeft hierbij proof-of-concept code voor dit gat in Adobe Reader X.

In reactie op de bevindingen van Delugré heeft security-ingenieur Justin Schuh van Google een patch uitgebracht voor webbrowser Chromium. De door Adobe gebruikte sandbox is namelijk afgeleid van die in Google's webbrowser. Het is nog onduidelijk of de kwetsbaarheid in Reader X ook geldt voor Adobe Flash, die ook een afgeleide sandbox heeft ingebouwd. Adobe was dinsdagmiddag niet direct bereikbaar voor commentaar.