|
En jawatan yang sangat baik ini yang keluar hari ini di Maklumat Ikut, salah satu kerentanan terakhir dan paling berbahaya dari PDF dilaporkan, yang mengesahkan perkara yang kami bincangkan jawatan kami semalam. Saya memajukan moral cerita: lebih baik gunakan format percuma DJVU; lebih selamat dan menghasilkan fail yang lebih kecil dan berkualiti lebih baik ... ia tidak disokong oleh "raksasa" seperti Adobe. |
Hari-hari ini ia berlaku di seluruh dunia kerja yang telah dilakukan oleh Didier Stevens untuk membuat binari dilaksanakan dari dokumen PDF. Tekniknya, jika ia digunakan Adobe Acrobat Reader, menunjukkan mesej yang boleh, seperti yang dia sendiri katakan, sebahagiannya diubah suai. Dalam FoxItsebaliknya, tidak ada mesej yang dipaparkan dan perintah dilaksanakan tanpa sebarang amaran.
Teknik ini mudah, mudah, dan oleh itu sangat berbahaya, jika kita menganggap bahawa format PDF adalah kegemaran eksploitasi tahun lalu, mencapai tahap eksploitasi yang sangat tinggi.
Melihat ini, saya teringat bahawa dalam banyak artikel di Internet, ketika mereka bercakap tentang bagaimana mengeksploitasi kerentanan dalam PDF, mereka mengatakan seperti "Cari versi Acrobat yang mereka gunakan, dengan FOCA, misalnya" dan kemudian membina eksploitasi. FOCA miskin yang terperangkap dalam terung itu
Sesuatu yang serupa dengan itu adalah demo yang kami siapkan untuk Hari Keamanan, di mana kami memanfaatkan kerentanan di Acrobat Reader (termasuk versi 9) untuk mendapatkan Shell jauh pada komputer yang rentan. Kerentanan yang dieksploitasi dinyatakan sebagai CVE-2009 0927- dan operasinya memungkinkan untuk melaksanakan sebarang perintah. Sekiranya perisian terdedah, anda akan mendapat mesej seperti yang dilihat dalam gambar berikut:
Dan eksploitasi yang kami gunakan mengalihkan Shell ke IP dan port di mana kami telah menetapkan netcat untuk didengarkan.
Sudah tentu, pada mesin yang dieksploitasi, proses Acrobat Reader sedang berjalan, mematuhi perintah Shell.
Melihat bahaya eksploitasi PDF, saya memutuskan untuk memuat naiknya ke VirusTotal, untuk melihat bagaimana enjin antivirus berkelakuan dengan eksploitasi ini dalam dokumen pdf. Adalah sangat penting untuk mengambil kira tingkah lakunya jika kita bercakap mengenai enjin yang digunakan dalam pengurus e-mel atau di repositori dokumen, kerana di wilayah-wilayah di mana kebanyakan dokumen pdf bergerak. Hasilnya, dengan eksploitasi khusus ini, tidak buruk, tetapi mengejutkan bahawa masih ada sebilangan besar enjin yang tidak dapat mengesannya, tetapi peratusannya tidak mencapai 50% dan, beberapa di antaranya, sangat mencolok seperti Kaspersky, McAffe atau Fortinet .
Sebagai rasa ingin tahu, terpikir oleh saya untuk menggunakan file packer untuk menghasilkan executable, serupa dengan yang kita sayangi pengikat merah Thor, tetapi dengan fungsi yang kurang dipanggil Jiji dan ada dilihat di Cyberhades, untuk melihat apa yang dilakukan oleh mesin antimalware ketika kita meletakkan pdf exploit di dalam pakej dengan ekstensi exe.
Pelaksana baru ini, ketika dijalankan, melancarkan dokumen dengan pdf exploit. Alternatif yang terlintas dalam fikiran saya adalah: A) mereka membongkarnya dan orang-orang dari sebelum menemuinya dan B) Mereka pergi secara langsung untuk mengesan apa yang ada di dalamnya dan menandatangani pembungkus itu.
Hanya 2 dari 42 yang mengesannya, 1 sebagai suspek, dan hanya VirusBuster yang mengetahui formatnya, dan menghadapi masalah, untuk membongkar kandungan untuk memindainya.
Setelah melihat ini, nampaknya betul bahawa Microsoft dan Adobe sedang mempertimbangkan untuk mengemas kini perisian melalui Windows Update dan Microsoft telah membuka platform Windows Update Services untuk mengintegrasikan penyelesaian lain seperti Windows Update agent Secunia CSI, yang berfungsi dengan System Center Configuration Manager dan WSUS.
Dengarkan saya dengan lebih baik gunakan format percuma DJVU- lebih selamat dan menghasilkan fail yang lebih kecil dan berkualiti lebih baik.
Fuente: Maklumat Ikut
penjelasan: pdf juga format percuma.
dan perlu untuk melihat kesalahan siapa, apakah format (PDF) atau program (Acrobat Reader, Foxit, dll.) kerana formatnya sangat bagus, tetapi program yang melaksanakannya sangat buruk, dan itu tidak Ini bermaksud bahawa tidak ada program yang baik sehingga hal ini tidak terjadi pada mereka (semuanya menggunakan Acrobat atau Foxit, tetapi di Linux kita mempunyai lebih banyak pilihan, adakah ini akan menjadi rentan?)
Saya tidak pernah mencuba djvu, sekarang saya melihat sedikit untuk melihat apa itu, dan ada sedikit perkara yang saya tidak suka dalam masa kecil ini kerana saya melihatnya, anda tidak dapat menyalin teksnya, kerana semuanya adalah gambar. Saya tidak suka dengan cara itu, saya biasanya menyalin perkara dari pdf yang saya baca.
Saya tidak tahu sama ada saya akan menggunakannya, saya rasa saya lebih suka memperbaiki format pdf, iaitu vektor.
berkaitan
Marcos yang dihormati, komen anda tepat. PDF adalah format proprietari, tetapi sejak 1 Julai 2008 ia adalah format terbuka.
Bagaimanapun, memang benar apa yang anda katakan bahawa kadangkala pelanggan / pembaca mempunyai banyak kaitan dengannya. Contoh yang jelas adalah kes yang dilaporkan dalam catatan ini.
Dan ya, saya juga tidak suka menyalin teks .djvu. 🙁 Walau bagaimanapun, di halaman Wikipedia Bahasa Inggeris mengatakan bahawa: «Oleh itu, bukannya memampatkan huruf« e »dalam font tertentu berkali-kali, ia memampatkan huruf« e »sekali (sebagai gambar bit yang dimampatkan) dan kemudian merekam setiap tempat di halaman ia berlaku.
Secara pilihan, bentuk ini dapat dipetakan ke kod ASCII (baik dengan tangan atau berpotensi oleh sistem pengenalan teks), dan disimpan dalam fail DjVu. Sekiranya pemetaan ini ada, adalah mungkin untuk memilih dan menyalin teks. » Yang bermaksud bahawa anda boleh memilih teks dalam djvus.