|
En този отличен пост който излезе днес в Следваща информация, се отчита една от последните и най-опасни уязвимости на PDF файловете, потвърждаваща това, което повдигнахме нашата публикация вчера. Напредвам морала на историята: по-добре използвайте безплатния формат DJVU; той е по-сигурен и създава по-малки, по-качествени файлове ... просто не се поддържа от "гигант" като Adobe. |
В наши дни това обикаля света работата, която Дидие Стивънс е направил, за да изпълни двоични файлове от PDF документ. Техниката, ако се използва Adobe Acrobat Reader, показва съобщение, което може да бъде, както самият той казва, частично модифицирано. В FoxItнапротив, не се показва съобщение и командите се изпълняват без предупреждения.
Тази техника е проста, ясна и следователно по-опасна, ако вземем предвид, че PDF форматът беше любим на експлоататорите миналата година, достигайки много високи нива на експлоатация.
Виждайки това, си спомних, че в много статии в интернет, когато говорят за това как да се използват уязвимости в PDF, те казват неща като „Намерете версията на Acrobat, която използват, например с FOCA“ и след това изградете експлоата. Горката FOCA остана в тези патладжани ...
Нещо подобно на това беше демонстрацията, която подготвихме за Деня на сигурността, в която използвахме уязвимост в Acrobat Reader (включително версия 9), за да получим отдалечена Shell на уязвимия компютър. Експлоатираната уязвимост е типизирана като CVE-2009 0927- и неговата работа позволява да се изпълни всяка команда. Ако софтуерът е уязвим, ще получите съобщение като това, което се вижда на следващото изображение:
И експлойтът, който използваме, пренасочва Shell към IP и порт, на който сме настроили netcat да слуша.
Разбира се, в експлоатираната машина се изпълнява процесът Acrobat Reader, който се съобразява с командите на Shell.
Виждайки опасността от PDF експлойти, реших да го кача във VirusTotal, за да видя как антивирусните механизми се държат с тези експлойти в pdf документи. Особено важно е да се вземе предвид поведението му, ако говорим за механизма, използван в мениджъра на имейли или в хранилището на документи, тъй като е в онези територии, където се движат повече pdf документи. Резултатът с този конкретен експлойт не беше лош, но беше изненадващо, че все още имаше голям брой двигатели, които не го откриха, но процентът не достигна 50% и, някои от тях, толкова поразителен, колкото Kaspersky, Макафе или Фортинет.
Като любопитство ми хрумна да използвам файлов пакет за генериране на изпълними файлове, подобни на нашите скъпи Редбиндер на Тор, но с по-малко функционалности, наречени Jiji и имаше вижда се в Cyberhades, за да видим какво са направили двигателите за антималуер, когато поставим pdf exploit в пакет с разширение exe.
Когато се изпълнява, този нов изпълним файл стартира документа с pdf експлойт. Алтернативите, които ми минаха през ума, бяха: А) разопаковат го и хората отпреди да го открият и Б) Отиват директно, за да открият какво има вътре и да подпишат пакета, но резултатът беше изненадващ.
Само 2 от 42 го откриха, 1 като заподозрян и само VirusBuster знаеше формата и си направи труда да разопакова съдържанието, за да го сканира.
След като видяхме това, изглежда много правилно, че Microsoft и Adobe обмислят да актуализират софтуера чрез Windows Update и че Microsoft е отворила платформата си за Windows Update Services, за да интегрира други решения като Windows Update agent Secunia CSI, който работи с System Center Configuration Manager и WSUS.
Слушай ме по-добре използвайте безплатния формат DJVU- е по-сигурен и създава по-малки, по-качествени файлове.
Fuente: Следваща информация
разяснение: pdf също е свободен формат.
и би било необходимо да се види чия е вината, ако форматът (PDF) или програмите (Acrobat Reader, Foxit и др.), защото форматът може да бъде много добър, но програмата, която го изпълнява, е много лоша и че не Това означава, че няма добри програми, че това не им се случва (всички те използват Acrobat или Foxit, но в Linux имаме много повече опции, ще бъдат ли уязвими?)
Никога не съм опитвал djvu, сега гледам малко, за да видя какво е, и има малко нещо, което не ми харесва за това малко време, когато го гледам, не можете да копирате текста, тъй като всичко изображение. Не ми харесва по този начин, обикновено копирам нещата от pdfs, които чета.
Не знам дали бих го използвал много, мисля, че предпочитам да подобря pdf формата, който е векторен.
отношение на
Уважаеми Маркос, вашите коментари са на място. PDF форматът е патентован, но от 1 юли 2008 г. е отворен формат.
Както и да е, вярно е това, което казвате, че понякога клиентите / читателите имат много общо с това. Ярък пример е случаят, който е докладван в тази публикация.
И да, също не ми харесва да не мога да копирам текста на .djvu. 🙁 Обаче на английската страница на Wikipedia пише, че: «По този начин, вместо да компресира буква« e »в даден шрифт няколко пъти, той компресира буквата« e »веднъж (като компресиран битов образ) и след това записва всяко място на страницата това се случва.
По желание тези фигури могат да бъдат преобразувани в ASCII кодове (или ръчно, или потенциално от система за разпознаване на текст) и да се съхраняват във файла DjVu. Ако това картографиране съществува, е възможно да се избере и копира текст. » Което означава, че можете да изберете текст в djvus.