作者FongChen (楓塵)
看板EZsoft
標題[新聞] 利用PDF檔,不需漏洞即可發動攻擊
時間Fri Apr 9 09:56:25 2010
資料來源:ZDNet新聞
http://goo.gl/paK7
[ www.zdnet.com.tw/enterprise/topic/security/0,2000085717,20144920,00.htm?
feed=NL:+%A5%F8%B7%7E%C0%B3%A5%CE+%3A+%A5D%C3D%A4%A4%A4%DF+%3A+%A6w%A5%FE ]
利用PDF檔,不需漏洞即可發動攻擊
ZDNet新聞專區:Elinor Mills 2010/04/06 12:56:01
Jeremy Conway自製一支影片,示範如何用PDF檔案來進行攻擊。
一位安全研究員5日警告,可攜式文件格式(PDF)檔,可用來散佈惡意軟體,感染使用
Adobe Acrobat Reader或Foxit Reader PDF軟體之目標電腦內存放的無害PDF檔。
NitroSecurity產品經理Jeremy Conway,製作了一個概念驗證攻擊。他在一個電腦檔案內
注入惡意程式碼,作為漸進式更新的一部份,同樣的方法可用來植入惡意程式碼到目標電
腦的任一或所有PDF檔案內。
這項攻擊需要使用者透過一個對話窗,同意程式碼執行才能完成。不過,攻擊者至少能部
分控制對話窗的內容,讓使用者接受該程式,再利用社交工程誘騙使用者同意執行惡意軟
體。
關閉JavaScript無法防範這項攻擊。攻擊者也無須利用PDF閱讀器本身的弱點。 Conway表
示,PDF閱讀器的漸進式更新功能「能被用作一個感染向量。(這項攻擊)不必利用任何
弱點,無需瘋狂的零時差攻擊程式。」
Conway的概念驗證攻擊(細節請見這裡,更多資訊在這裡),是利用比利時安全研究員
Didier Stevens上週在個人部落格揭露的同一項PDF閱讀器缺失。Stevens利用一套多部的
scripting程序,執行一個PDF檔案內的程式碼,即可發動指令。該篇文章發表後,Adobe
和Foxit的研究員便開始研究如何減輕此類攻擊的風險。
Adobe發言人不願評論Conway的攻擊,但該公司對Steven的回應如下:
Didier Stevens的示範是根據PDF規格內的功能定義,那是一項ISO標準(ISO PDF
32000-1:2008。該規格的第12.6.4.5款,定義/launch command(發動指令)。這個例子
,顯示出若干使用者依賴的強大功能,當不正確使用時,同樣有潛在風險。Adobe Reader
和Adobe Acrobat內含的警示訊息,包括以強烈措辭建議使用者只能開啟和執行可信任來
源發出的檔案。Adobe非常認真地看待我們的產品與技術之安全,我們也不斷衡量各種方
式,提供終端使用者和管理者更好的管理和設定功能,以減輕潛在的相關風險。
Foxit的回應如下:
Foxit嚴肅看待每一個安全顧慮,而我們的工程資源著重在確定問題的起因,並提出完整
及安全的解決方案。在獲知一項可能的安全顧慮後,我們的開發團隊立即行動,在24小時
內確定解決方案,並在接下來的72小時內,發佈Foxit Reader的更新版。
Conway表示,PDF閱讀器軟體允許可執行檔案被開啟,或在該軟體內啟動,才是問題所在
。他說:「多數使用者不會用到那項額外功能。」他建議PDF軟體商,提供一個不允許其
他類型程式在內啟動的極簡版閱讀器,並允許使用者決定哪些特定類型的檔案能在閱讀器
內開啟。(陳智文/譯)
--
目前比較安全的應該就是用Google線上檢視吧 = =a
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 134.208.32.179
推 ICEFTP:結果用了線上檢視,因為Browser的Bug意外中獎?XD 04/09 11:16
推 darKyle:應該不會吧 原理跟一般的閱讀器不一樣 而且連註解都不能開 04/09 18:49