En この素晴らしい投稿 今日出てきた フォロー情報、PDFの最後で最も危険な脆弱性のXNUMXつが報告され、私たちが提起したものを確認します 昨日の投稿。 私は物語の教訓を前進させます:より良い DJVUフリーフォーマットを使用する; より安全で、より小さく、より高品質のファイルを作成します…Adobeのような「巨人」によってサポートされていないだけです。 |
最近は世界中で起こっています PDFドキュメントからバイナリを実行するためにDidierStevensが行った作業。 それが使用されている場合、テクニック Adobe Acrobat Readerがは、彼自身が言うように、部分的に変更できるメッセージを示しています。 に フォックスイット逆に、メッセージは表示されず、コマンドはアラートなしで実行されます。
この手法は単純でわかりやすいため、昨年PDF形式が悪用者のお気に入りであり、非常に高いレベルの悪用に達したと考えると、さらに危険です。
これを見て、多くのインターネット記事で、PDFの脆弱性を悪用する方法について話すとき、次のようなことを言っていることを思い出しました。 「たとえばFOCAを使用して、使用しているAcrobatのバージョンを特定します。」 次に、エクスプロイトを構築します。 貧しいFOCAはそれらのナスで立ち往生しています...
これに似たものが、Security Day用に準備したデモで、Acrobat Reader(バージョン9を含む)の脆弱性を悪用して、脆弱なコンピューターにリモートシェルを取得しました。 悪用された脆弱性は、次のように代表されます。 CVE-2009-0927 その操作により、任意のコマンドを実行できます。 ソフトウェアが脆弱な場合は、次の画像に示すようなメッセージが表示されます。
そして、私たちが使用するエクスプロイトは、シェルを、netcatがリッスンするように設定したIPとポートにリダイレクトします。
もちろん、悪用されたマシンでは、Acrobat Readerプロセスが実行されており、シェルコマンドに対応しています。
PDFエクスプロイトの危険性を見て、それをVirusTotalにアップロードして、ウイルス対策エンジンがPDFドキュメント内のこれらのエクスプロイトでどのように動作するかを確認することにしました。 電子メールマネージャーまたはドキュメントリポジトリで使用されるエンジンについて話している場合は、その動作を考慮することが特に重要です。これは、より多くのpdfドキュメントが移動する地域にあるためです。 この特定のエクスプロイトによる結果は悪くありませんでしたが、それを検出しなかったエンジンがまだかなりあることは驚くべきことでしたが、その割合は50%に達しておらず、一部はKasperskyのように印象的でした。マカフィーまたはフォーティネット。
好奇心として、私たちの愛する人と同じように、ファイルパッカーを使用して実行可能ファイルを生成することが思い浮かびました。 レッドバインダー トールの、しかし呼ばれる機能が少ない ジジ そしてありました Cyberhadesで見られる、exe拡張子の付いたパッケージ内にpdfエクスプロイトを配置したときにマルウェア対策エンジンが何をしたかを確認します。
この新しい実行可能ファイルを実行すると、pdfエクスプロイトを使用してドキュメントが起動します。 私の頭に浮かんだ選択肢は、A)開梱し、以前の人々がそれを発見したこと、B)中身を直接検出してパッカーに署名することでしたが、結果は驚くべきものでした。
2のうち42つだけがそれを検出し、1つは疑わしく、VirusBusterだけがフォーマットを知っていて、コンテンツを解凍してスキャンするのに苦労しました。
これを見た後、MicrosoftとAdobeがWindows Updateを介したソフトウェアの更新を検討していること、およびMicrosoftがWindowsUpdateエージェントなどの他のソリューションを統合するためにWindowsUpdateServicesプラットフォームを開いたことは非常に正しいようです。 Secunia CSI、System Center ConfigurationManagerおよびWSUSと連携します。
私の言うことをよく聞いてください DJVUフリーフォーマットを使用する-より安全で、より小さく、より高品質のファイルを作成します。
出典 フォロー情報
明確化:pdfも自由形式です。
フォーマット(PDF)またはプログラム(Acrobat Reader、Foxitなど)のどちらが原因であるかを確認する必要があります。フォーマットは非常に優れている可能性がありますが、それを実行するプログラムは非常に悪いためです。そうではありませんこれが起こらない良いプログラムがないことを意味します(すべてAcrobatまたはFoxitを使用しますが、Linuxにはさらに多くのオプションがありますが、これらは脆弱ですか?)
私はdjvuを試したことがありませんでしたが、今は少し見て、それが何であるかを確認します。この少しの時間で気に入らないことが少しあります。テキストをコピーすることはできません。画像。 私はそれが好きではありません、私は通常私が読んだpdfから物事をコピーします。
よく使うかどうかはわかりませんが、ベクターであるpdf形式を改善したいと思います。
よろしく
親愛なるマルコス、あなたのコメントは的を射ています。 PDFは独自の形式でしたが、1年2008月XNUMX日以降はオープン形式になっています。
とにかく、時々顧客/読者がそれと多くの関係があるとあなたが言うことは本当です。 明確な例は、この投稿で報告されているケースです。
はい、.djvuのテキストもコピーできないのは好きではありません。 🙁ただし、英語版ウィキペディアのページには次のように記載されています。«したがって、特定のフォントで文字«e»を複数回圧縮する代わりに、文字«e»をXNUMX回(圧縮ビット画像として)圧縮してから、すべての場所を記録します。ページ上で発生します。
オプションで、これらの形状をASCIIコードにマッピングし(手動または場合によってはテキスト認識システムによって)、DjVuファイルに保存することができます。 このマッピングが存在する場合は、テキストを選択してコピーすることができます。» つまり、djvusでテキストを選択できるということです。