|
En šį puikų įrašą kad šiandien pasirodė Stebėti informacijąpranešama apie vieną iš paskutinių ir pavojingiausių PDF pažeidžiamumų, patvirtinantį tai, ką iškėlėme mūsų vakar pranešimas. Aš iškeliu istorijos moralę: geriau naudokite nemokamą „DJVU“ formatą; jis saugesnis ir sukuria mažesnius, geresnės kokybės failus ... to tiesiog nepalaiko „milžinas“, kaip „Adobe“. |
Šiomis dienomis tai vyksta visame pasaulyje darbas, kurį atliko Didieras Stevensas, kad dvejetainiai failai būtų vykdomi iš PDF dokumento. Technika, jei ji naudojama "Adobe Acrobat Reader", rodo pranešimą, kurį, kaip jis pats sako, galima iš dalies pakeisti. Į „FoxIt“priešingai, pranešimas nerodomas, o komandos vykdomos be įspėjimų.
Ši technika yra paprasta, paprasta ir todėl labai pavojinga, jei atsižvelgsime į tai, kad PDF formatas pernai buvo mėgstamiausias išnaudotojų ir pasiekė labai aukštą išnaudojimo lygį.
Tai matydamas, prisiminiau, kad daugelyje interneto straipsnių, kai jie kalba apie tai, kaip išnaudoti PDF pažeidžiamumą, jie sako: "Suraskite jų naudojamą" Acrobat "versiją, pavyzdžiui, su FOCA" ir tada kurti išnaudojimą. Vargšas FOCA įstrigo tuose baklažanuose ...
Kažkas panašaus į tai buvo demonstracija, kurią parengėme saugumo dienai, kurioje išnaudojome „Acrobat Reader“ (įskaitant 9 versiją) pažeidžiamumą, kad pažeidžiamame kompiuteryje gautume nuotolinį „Shell“. Išnaudotas pažeidžiamumas apibūdinamas kaip CVE-2009-0927 o jo veikimas leidžia vykdyti bet kurią komandą. Jei programinė įranga yra pažeidžiama, gausite tokį pranešimą, koks matomas šiame paveikslėlyje:
Mūsų naudojamas išnaudojimas nukreipia „Shell“ į IP ir prievadą, kuriame nustatėme „netcat“ klausytis.
Žinoma, eksploatuojamoje mašinoje vyksta „Acrobat Reader“ procesas, vykdant „Shell“ komandas.
Matydamas PDF išnaudojimo pavojų, nusprendžiau jį įkelti į „VirusTotal“ ir sužinoti, kaip antivirusiniai varikliai elgiasi su šiais išnaudojimais pdf dokumentuose. Ypač svarbu atsižvelgti į jo elgesį, jei kalbame apie variklį, naudojamą el. Pašto tvarkytuvėje arba dokumentų saugykloje, nes jis yra tose teritorijose, kur juda daugiau pdf dokumentų. Rezultatas, naudojant šį konkretų išnaudojimą, buvo neblogas, tačiau nustebino tai, kad vis dar buvo daugybė variklių, kurie jo neaptiko, tačiau procentas nepasiekė 50% ir, kai kurie iš jų, tokie pat ryškūs kaip „Kaspersky“, „McAffe“ ar „Fortinet“.
Kaip įdomu, man kilo mintis naudoti failų pakavimo priemonę vykdomiesiems failams generuoti, panašiai kaip mūsų brangieji Redbinderis Thoro, bet su mažiau funkcijomis Jiji ir buvo matytas Kiberhaduose, norėdami sužinoti, ką padarė antimalware varikliai, kai įdėjome pdf failą į paketą su exe plėtiniu.
Šis naujas vykdomasis failas paleidus paleidžia dokumentą naudodamas pdf failą. Man į galvą šovė tokios alternatyvos: A) jie išpakuoja ją, o ankstesni žmonės ją atranda ir B) Jie eina tiesiogiai aptikti to, kas yra viduje, ir pasirašo pakuotoją. Tačiau rezultatas nustebino.
Tik 2 iš 42 aptiko, vienas įtartinas ir tik „VirusBuster“ žinojo formatą ir ėmėsi rūpesčių išpakuoti turinį, kad jį nuskaitytų.
Tai pamačius, man atrodo labai teisinga, kad „Microsoft“ ir „Adobe“ svarsto galimybę atnaujinti programinę įrangą per „Windows Update“ ir kad „Microsoft“ atidarė savo „Windows Update Services“ platformą, kad integruotų kitus sprendimus, pvz., „Windows Update“ agentą Secunia CSI, kuris veikia su „System Center Configuration Manager“ ir WSUS.
Klausyk manęs geriau naudokite nemokamą „DJVU“ formatą- yra saugesnis ir sukuria mažesnius, geresnės kokybės failus.
Fuente: Stebėti informaciją
patikslinimas: pdf taip pat yra nemokamas formatas.
ir reikėtų išsiaiškinti, kieno kaltė, ar formatas (PDF), ar programos („Acrobat Reader“, „Foxit“ ir kt.), nes formatas gali būti labai geras, tačiau jį vykdanti programa yra labai bloga, ir tai nėra Tai reiškia, kad nėra gerų programų, kad jiems taip nenutiktų (visi naudoja „Acrobat“ ar „Foxit“, bet „Linux“ turime daug daugiau galimybių, ar jie bus pažeidžiami?)
Niekada nebandžiau „djvu“, dabar truputį žiūriu, kas tai yra, ir jis turi mažą dalyką, kuris man nepatinka per šį trumpą laiką, kai žiūriu, negalima nukopijuoti teksto, nes viskas yra vaizdas. Man tai nepatinka, dažniausiai kopijuoju daiktus iš perskaitytų pdf failų.
Nežinau, ar daug naudočiau, manau, kad norėčiau patobulinti pdf formatą, kuris yra vektorinis.
dėl
Gerbiamas Marcosai, jūsų komentarai yra nepastebimi. PDF buvo patentuotas formatas, tačiau nuo 1 m. Liepos 2008 d. Jis yra atviras formatas.
Bet kokiu atveju, tiesa, ką sakote, kad kartais klientai / skaitytojai turi daug ką veikti. Aiškus pavyzdys yra atvejis, apie kurį pranešta šiame įraše.
Ir taip, man nepatinka, kad negaliu nukopijuoti .djvu teksto. 🙁 Tačiau angliškos „Wikipedia“ puslapyje sakoma: „Taigi, užuot kelis kartus suspaustą raidę„ e “tam tikrame šrifte, ji vieną kartą suglaudina raidę„ e “(kaip suglaudintą bitų vaizdą) ir tada įrašo kiekvieną vietą puslapyje tai įvyksta.
Pasirinktinai šios formos gali būti susietos su ASCII kodais (rankiniu būdu arba potencialiai teksto atpažinimo sistemos pagalba) ir saugomos „DjVu“ faile. Jei toks susiejimas egzistuoja, galima pasirinkti ir nukopijuoti tekstą. » Tai reiškia, kad galite pasirinkti tekstą „djvus“.