02 апреля 2010 Вредоносный файл Adobe PDF может обойти все меры безопасности Единственная вещь, блокирующая PDF файл, написанный исследователем безопасности Дидьером Стивенсом (Didier Stevens), о котором мы писали вчера, и способный повредить ваш компьютер, это диалоговое окно с предупреждением.
С некоторыми настройками предупреждений, а также с хитрой социальной инженерией ваша система получит небольшое, но очень вредное дополнение из этого PDF файла. "С Adobe Reader единственное предупреждение выполнения это диалоговое окно. Отключение JavaScript не будет препятствовать этому (я не использую JavaScript в моём PoC PDF), и исправление Adobe Reader не представляется возможным (я не эксплуатирую уязвимости, просто творчески подхожу к спецификациям языка PDF)".
Виновником здесь является просто альтернативный способ запуска команд в формате PDF (/launch /action). Далее каким-то образом (Стивенс не сообщил, как именно) в PDF вставляется исполняемый код, после чего этот файл может запустить любую программу своего создателя, если пользователь нажмёт OK на предупреждении. Поскольку предупреждение может быть изменено чуть более сложным взломом, то оно не является таким уж большим барьером. Можно просто изменить предупреждение на ободряющее послание, убеждающее пользователя открыть файл, и всё. Более того, PDF Reader может даже не показывать предупреждение, что делает эту угрозу еще хуже.
В соответствии с Threatpost.com, Adobe ответила на вопрос следующим образом: "Демо Дидьера Стивенса полагается на функции, определенные в спецификации PDF, который является стандартом ИСО (ISO 32000-1:2008 PDF). Раздел 12.6.4.5 спецификации определяет команду /launch. Это пример мощных функциональных возможностей, опирающихся на пользователей, что также несет потенциальный риск при неправильном использовании. Предупреждающее сообщение, предусмотренное в Adobe Reader и Adobe Acrobat, включает формулировки, советующие пользователям открывать и запускать файл, только если он исходит от доверенного источника. Adobe очень серьёзно подходит к безопасности наших продуктов и технологий, мы всегда рассматриваем способы, позволяющие конечным пользователям и администраторам более эффективно управлять и настраивать функции, такие как эта, чтобы смягчать потенциальные риски" источник: neowin |
