資料來源：ZDNet新聞 http://goo.gl/paK7 [ www.zdnet.com.tw/enterprise/topic/security/0,2000085717,20144920,00.htm? feed=NL:+%A5%F8%B7%7E%C0%B3%A5%CE+%3A+%A5D%C3D%A4%A4%A4%DF+%3A+%A6w%A5%FE ] 利用PDF檔，不需漏洞即可發動攻擊 ZDNet新聞專區：Elinor Mills 2010/04/06 12:56:01 Jeremy Conway自製一支影片，示範如何用PDF檔案來進行攻擊。 一位安全研究員5日警告，可攜式文件格式（PDF）檔，可用來散佈惡意軟體，感染使用 Adobe Acrobat Reader或Foxit Reader PDF軟體之目標電腦內存放的無害PDF檔。 NitroSecurity產品經理Jeremy Conway，製作了一個概念驗證攻擊。他在一個電腦檔案內 注入惡意程式碼，作為漸進式更新的一部份，同樣的方法可用來植入惡意程式碼到目標電 腦的任一或所有PDF檔案內。 這項攻擊需要使用者透過一個對話窗，同意程式碼執行才能完成。不過，攻擊者至少能部 分控制對話窗的內容，讓使用者接受該程式，再利用社交工程誘騙使用者同意執行惡意軟 體。 關閉JavaScript無法防範這項攻擊。攻擊者也無須利用PDF閱讀器本身的弱點。 Conway表 示，PDF閱讀器的漸進式更新功能「能被用作一個感染向量。（這項攻擊）不必利用任何 弱點，無需瘋狂的零時差攻擊程式。」 Conway的概念驗證攻擊（細節請見這裡，更多資訊在這裡），是利用比利時安全研究員 Didier Stevens上週在個人部落格揭露的同一項PDF閱讀器缺失。Stevens利用一套多部的 scripting程序，執行一個PDF檔案內的程式碼，即可發動指令。該篇文章發表後，Adobe 和Foxit的研究員便開始研究如何減輕此類攻擊的風險。 Adobe發言人不願評論Conway的攻擊，但該公司對Steven的回應如下： Didier Stevens的示範是根據PDF規格內的功能定義，那是一項ISO標準（ISO PDF 32000-1:2008。該規格的第12.6.4.5款，定義/launch command（發動指令）。這個例子 ，顯示出若干使用者依賴的強大功能，當不正確使用時，同樣有潛在風險。Adobe Reader 和Adobe Acrobat內含的警示訊息，包括以強烈措辭建議使用者只能開啟和執行可信任來 源發出的檔案。Adobe非常認真地看待我們的產品與技術之安全，我們也不斷衡量各種方 式，提供終端使用者和管理者更好的管理和設定功能，以減輕潛在的相關風險。 Foxit的回應如下： Foxit嚴肅看待每一個安全顧慮，而我們的工程資源著重在確定問題的起因，並提出完整 及安全的解決方案。在獲知一項可能的安全顧慮後，我們的開發團隊立即行動，在24小時 內確定解決方案，並在接下來的72小時內，發佈Foxit Reader的更新版。 Conway表示，PDF閱讀器軟體允許可執行檔案被開啟，或在該軟體內啟動，才是問題所在 。他說：「多數使用者不會用到那項額外功能。」他建議PDF軟體商，提供一個不允許其 他類型程式在內啟動的極簡版閱讀器，並允許使用者決定哪些特定類型的檔案能在閱讀器 內開啟。（陳智文/譯） -- 目前比較安全的應該就是用Google線上檢視吧 = =a -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 134.208.32.179