|
En tämä erinomainen viesti joka ilmestyi tänään Seuraa-tietoa, yksi viimeisimmistä ja vaarallisimmista PDF-tiedostojen haavoittuvuuksista ilmoitetaan, mikä vahvistaa esittelemämme tiedot eilinen viesti. Edistän tarinan moraalia: parempi käytä DJVU-vapaata muotoa; se on turvallisempi ja luo pienempiä, laadukkaampia tiedostoja ... Adobe-kaltainen "jättiläinen" ei vain tue sitä. |
Nykyään se menee ympäri maailmaa työ, jonka Didier Stevens on tehnyt saadakseen binääritiedostot PDF-dokumentista. Tekniikka, jos sitä käytetään Adobe Acrobat Reader, näyttää viestin, jota voidaan, kuten hän itse sanoo, osittain muokata. Sisään FoxItpäinvastoin, viestiä ei näytetä ja komennot suoritetaan ilman varoituksia.
Tämä tekniikka on yksinkertainen, suoraviivainen ja siten vaarallisempi, jos katsomme, että PDF-muoto oli viime vuonna hyväksikäyttäjien suosikki ja saavutti erittäin korkean hyödyntämistason.
Tämän nähdessä olen muistanut, että monissa Internetin artikkeleissa, kun he puhuvat PDF-haavoittuvuuksien hyödyntämisestä, he sanovat esimerkiksi: "Etsi heidän käyttämänsä Acrobatin versio esimerkiksi FOCA: n kanssa" ja rakenna sitten hyväksikäyttö. Huono FOCA juuttui näihin munakoisoihin ...
Jotain samanlaista oli demo, jonka valmistimme Security Day -päiväkirjaan, jossa hyödynnimme Acrobat Readerin (mukaan lukien versio 9) haavoittuvuutta saadaksemme etäkuoren haavoittuvalle tietokoneelle. Hyödynnetty haavoittuvuus määritellään nimellä CVE-2009-0927 ja sen toiminnan avulla voidaan suorittaa mikä tahansa komento. Jos ohjelmisto on haavoittuva, saat seuraavan kaltaisen viestin:
Ja käyttämäsi hyödyntäminen ohjaa Shellin IP-osoitteeseen ja porttiin, johon olemme asettaneet netcatin kuuntelemaan.
Tietenkin hyödynnetyssä koneessa Acrobat Reader -prosessi on käynnissä, Shell-komentoja noudattaen.
Nähdessään PDF-hyväksikäytön vaaran päätin ladata sen VirusTotaliin, jotta voisin nähdä, miten virustentorjuntaohjelmat käyttäytyvät näiden hyväksikäyttöjen kanssa pdf-tiedostoissa. On erityisen tärkeää ottaa huomioon sen käyttäytyminen, jos puhumme moottorista, jota käytetään sähköpostinhallinnassa tai asiakirjatietovarastossa, koska se on alueilla, joilla enemmän pdf-asiakirjoja liikkuu. Tulos tällä erityisellä hyödyntämisellä ei ollut huono, mutta oli yllättävää, että oli vielä paljon moottoreita, jotka eivät havainneet sitä, mutta prosenttiosuus ei saavuttanut 50% ja jotkut niistä yhtä silmiinpistäviä kuin Kaspersky, McAffe tai Fortinet .
Uteliaisuutena, ajattelin käyttää tiedostopakkaajaa luomaan suoritettavia tiedostoja, samanlainen kuin rakas punainen sideaine Thorin, mutta vähemmän toimintoja kutsutaan Jiji ja siellä oli nähty Cyberhadesissa, nähdäksesi, mitä haittaohjelmien torjuntaohjelmat tekivät, kun laitimme pdf-paketin exe-laajennuksen sisältävään pakettiin.
Tämä uusi suoritettava tiedosto käynnistettäessä käynnistää asiakirjan pdf-hyväksikäytöllä. Vaihtoehdot, jotka törmäsivät mieleeni olivat: A) he purkavat sen pakkauksesta ja aikaisemmat ihmiset löytävät sen ja B) He menevät suoraan havaitsemaan, mitä sisällä on, ja allekirjoittamaan pakkaajan, mutta tulos oli kuitenkin yllättävä.
Vain 2 42: sta havaitsi sen, yksi epäilyttävänä ja vain VirusBuster tiesi muodon ja otti vaivaa purkaa sisällön pakkaamaan sitä skannaamaan.
Tämän nähtyäni minusta näyttää olevan oikein, että Microsoft ja Adobe harkitsevat ohjelmistopäivitystä Windows Update -sovelluksen kautta ja että Microsoft on avannut Windows Update Services -alustansa integroimaan muita ratkaisuja, kuten Windows Update Agent Secunia CSI, joka toimii System Center Configuration Managerin ja WSUS: n kanssa.
Kuuntele minua paremmin käytä DJVU-vapaata muotoa- Se on turvallisempi ja luo pienempiä, laadukkaampia tiedostoja.
lähde: Seuraa-tietoa
selvennys: pdf on myös ilmainen muoto.
ja olisi tarpeen nähdä, kenen vika on, onko muoto (PDF) tai ohjelmat (Acrobat Reader, Foxit, jne.), koska muoto voi olla erittäin hyvä, mutta sen toteuttava ohjelma on erittäin huono, ja se ei ole Se tarkoittaa, ettei ole olemassa hyviä ohjelmia, joita heille ei tapahtuisi (he kaikki käyttävät Acrobatia tai Foxitia, mutta Linuxissa meillä on paljon enemmän vaihtoehtoja, ovatko he haavoittuvia?)
En ole koskaan kokeillut djvua, nyt katson vähän nähdäkseni, mikä se on, ja siinä on pieni asia, jota en pidä tässä lyhyessä ajassa, kun katson sitä, et voi kopioida tekstiä, koska kaikki on kuva. En pidä siitä tällä tavalla, kopioin tavallisesti lukemani pdf-tiedostot.
En tiedä, käyttäisinkö sitä paljon, mielestäni haluaisin parantaa PDF-muotoa, joka on vektori.
terveiset
Hyvä Marcos, kommenttisi ovat paikalla. PDF oli oma muoto, mutta 1 lähtien se on avoin muoto.
Joka tapauksessa on totta, mitä sanot, että joskus asiakkailla / lukijoilla on paljon tekemistä sen kanssa. Selkeä esimerkki on tapaus, josta kerrotaan tässä viestissä.
Ja kyllä, en pidä siitä, että en voi kopioida .djvu-tekstiä. 🙁 Englanninkielisessä Wikipedia-sivulla sanotaan kuitenkin: «Siten sen sijaan, että pakattaisiin« e »-kirjain tietyssä kirjasimessa useita kertoja, se pakkaa kirjaimen« e »kerran (pakattuna bittikuvana) ja tallentaa sitten kaikki paikat sivulla se esiintyy.
Nämä muodot voidaan vaihtoehtoisesti yhdistää ASCII-koodeihin (joko käsin tai mahdollisesti tekstintunnistusjärjestelmällä) ja tallentaa DjVu-tiedostoon. Jos tämä kartoitus on olemassa, on mahdollista valita ja kopioida tekstiä. » Mikä tarkoittaa, että voit valita tekstin djvus-tiedostosta.