|
En see suurepärane postitus mis tuli täna välja aastal Jälgi teaveton teatatud ühest viimasest ja ohtlikumast PDF-failide haavatavusest, mis kinnitab, mida me tõstsime meie eile postitus. Ma edendan loo moraali: parem kasutage DJVU vaba vormingut; see on turvalisem ja loob väiksemaid, parema kvaliteediga faile ... sellist "hiiglast" nagu Adobe lihtsalt ei toeta. |
Tänapäeval läheb see mööda maailma ringi töö, mille Didier Stevens on teinud PDF-dokumendist binaarkaartide käivitamiseks. Tehnikat, kui seda kasutatakse Adobe Acrobat Reader, näitab sõnumit, mida saab, nagu ta ise ütleb, osaliselt muuta. Sisse FoxItvastupidi, ühtegi teadet ei kuvata ja käsud täidetakse ilma hoiatusteta.
See tehnika on lihtne, arusaadav ja seetõttu väga ohtlik, kui arvestada, et PDF-vorming oli eelmisel aastal ekspluateerijate lemmik, saavutades väga kõrge ekspluateerimise taseme.
Seda nähes on mulle meelde jäänud, et paljudes Interneti-artiklites räägivad PDF-faili haavatavuste ärakasutamisest näiteks: "Leidke kasutatava Acrobati versioon, näiteks FOCA-ga" ja seejärel kasutage ära. Vaene FOCA jäi nendesse baklažaanidesse kinni ...
Midagi sarnast oli ka Security Day jaoks ette valmistatud demo, milles kasutasime Acrobat Readeri (sealhulgas 9. versiooni) haavatavust, et saada haavatavasse arvutisse kaugkest. Kasutatav haavatavus on tüüpiline CVE-2009-0927 ja selle toimimine võimaldab täita mis tahes käske. Kui tarkvara on haavatav, saate sellise sõnumi nagu järgmisel pildil:
Ja meie kasutatav ärakasutus suunab Shelli IP-le ja porti, kus oleme seadistanud netcati kuulama.
Muidugi töötab ekspluateeritud masinas Acrobat Readeri protsess, jälgides Shelli käske.
Nähes PDF-i ekspluateerimise ohtu, otsustasin selle üles laadida VirusTotalisse, et näha, kuidas viirusetõrjemootorid käituvad nende ekspluateerimistega pdf-dokumentides. Eriti oluline on selle käitumist arvesse võtta, kui räägime e-posti halduris või dokumendihoidlas kasutatavast mootorist, kuna see on nendel territooriumidel, kus liigub rohkem pdf-dokumente. Selle konkreetse ärakasutamise tulemus ei olnud halb, kuid oli üllatav, et oli veel palju mootoreid, mis seda ei tuvastanud, kuid protsent ei küündinud 50% -ni ja mõned neist sama silmatorkavad kui Kaspersky McAffe või Fortinet.
Kurioosumina tekkis mul mõte kasutada failipakendit käivitatavate failide loomiseks, sarnaselt meie kallile punane sideaine Thori, kuid vähem funktsionaalsete funktsioonidega jiji ja seal oli küberhades näinud, et näha, mida pahavaravastased mootorid tegid, kui panime pdf-faili exe laiendusega paketti.
See uus käivitatav fail käivitamisel käivitab dokumendi pdf-vormingus. Minu meelest läksid alternatiivid: A) nad pakivad selle lahti ja varasemad inimesed avastavad selle ning B) Nad lähevad otse avastama, mis seal sees on, ja pakendajale allkirja. Kuid tulemus oli üllatav.
Ainult 2 42-st tuvastas selle, üks kahtlustatavana ja ainult VirusBuster teadis vormingut ning võttis vaevaks sisu skannimiseks lahti pakkida.
Pärast selle nägemist tundub mulle väga õige, et Microsoft ja Adobe kaaluvad tarkvara värskendamist Windows Update'i kaudu ja et Microsoft on oma Windowsi värskendusteenuste platvormi avanud muude lahenduste, näiteks Windows Update agenti integreerimiseks. Secunia CSI, mis töötab System Center Configuration Manageri ja WSUS-iga.
Kuula mind paremini kasutage DJVU vaba vormingut- on turvalisem ja loob väiksemaid, parema kvaliteediga faile.
allikas: Jälgi teavet
selgitus: ka pdf on tasuta vorming.
ja oleks vaja näha, kelle süü see on, kas vorming (PDF) või programmid (Acrobat Reader, Foxit jne), kuna formaat võib olla väga hea, kuid selle käivitav programm on väga halb ja kas pole See tähendab, et pole häid programme, et nendega nii ei juhtuks (nad kõik kasutavad Acrobati või Foxitit, aga Linuxis on meil palju rohkem võimalusi, kas need on haavatavad?)
Ma pole kunagi proovinud djvu-d, nüüd vaatan natuke, et näha, mis see on, ja sellel on väike asi, mis mulle selle väikese aja jooksul ei meeldi, et ma seda vaatan, teksti ei saa kopeerida, kuna kõik on pilt. Mulle see niimoodi ei meeldi, tavaliselt kopeerin asju lugenud pdf-idest.
Ma ei tea, kas ma seda palju kasutaksin, arvan, et eelistan paremaks muuta pdf-vormingut, mis on vektor.
osas
Kallis Marcos, teie kommentaarid on täpsed. PDF oli varalises vormingus, kuid alates 1. juulist 2008 on see avatud vorming.
Igatahes on tõsi, mida te ütlete, et mõnikord on klientidel / lugejatel sellega palju tegemist. Selge näide on juhtum, millest siin postituses räägitakse.
Ja jah, mulle ei meeldi, kui ma ei saa ka .djvu teksti kopeerida. 🙁 Ingliskeelse Vikipeedia lehel on aga öeldud: «Seega, selle asemel, et tihendada etteantud kirjas mitu korda tähte« e », surub see tähe« e »üks kord kokku (tihendatud bitipildina) ja salvestab seejärel kõik kohad lehel see toimub.
Soovi korral võib need kujundid kaardistada ASCII-koodidega (kas käsitsi või potentsiaalselt tekstituvastussüsteemi abil) ja salvestada DjVu-faili. Kui selline kaardistamine on olemas, on võimalik teksti valida ja kopeerida. » Mis tähendab, et saate valida djvuses teksti.