轉自BLOG888

研究人員:不需漏洞也可利用PDF執行惡意程式
文/陳曉莉 (編譯) 2010-04-01
Didier Stevens建議使用者不要把網路上的PDF檔下載到個人電腦上,而是透過Google Docs等雲端服務開啟。

安全研究人員Didier Stevens在本周發表一概念性驗證程式,展示如何透過Adobe Reader的功能,而不必透過任何安全漏洞,就可在PDF檔案中嵌入執行檔。

Stevens所設計的PDF檔案夾帶了一個執行檔,一旦使用者開啟該PDF檔,就會啟動所嵌入的執行檔,雖然Adobe Reader會跳出一個警告視窗,提醒使用者此一執行檔可能是惡意程式,但Stevens進一步發現他能夠修改警告視窗內的檔案描述文字,因此更可藉由社交工程技術以哄騙使用者允許該檔案的執行。
Stevens強調,他所利用的並不是Adobe Reader的安全漏洞,而是由PDF語言的規格衍生而來。

對於Stevens的發現,資安業者F-Secure研究長Mikko Hypponen表示,PDF檔案格式的規格顯示PDF允許使用者嵌入各式內容,包括影片、聲音、3D物件,亦可啟動應用程式及JavaScript。 Hypponen質疑使用者為什麼需要這些功能,並揶揄PDF有這麼多規格難怪啟動Adobe Reader或載入所有外掛程式需要一點時間,而且不意外的,Adobe Reader會定期出現安全問題。

Stevens說,唯一可阻止程式執行的是Adobe Reader跳出的警告視窗,另一PDF閱讀工具Foxit Reader也受到影響,但因該裝置完全不會警告使用者就逕自執行程式,因此問題更為嚴重。

Hypponen則建議使用者不要把網路上的PDF檔下載到個人電腦上,而是透過Google Docs等雲端服務開啟,另外也提醒使用者可以採用較冷門的PDF閱讀工具以避免招惹駭客攻擊。(編譯/陳曉莉)

==

既然是用PDF語言的規格來制作的話
一般PDF reader應該也是以同樣規格來寫的
改用較冷門的並不會比較安全吧

xhuang06 發表在 痞客邦 PIXNET 留言(0) 人氣()