|
En bu mükemmel gönderi bugün ortaya çıktı Takip Bilgileri, PDF'lerin son ve en tehlikeli güvenlik açıklarından biri rapor edildiğinde, dünkü gönderimiz. Hikayenin ahlakını ilerletiyorum: daha iyi DJVU ücretsiz formatını kullanın; daha güvenlidir ve daha küçük, daha kaliteli dosyalar oluşturur… Adobe gibi bir "dev" tarafından desteklenmez. |
Bu günlerde dünyayı dolaşıyor Didier Stevens'ın bir PDF belgesinden çalıştırılan ikili dosyaları almak için yaptığı iş. Teknik, kullanılıyorsa Adobe Acrobat Reader, kendisinin de söylediği gibi kısmen değiştirilebilen bir mesaj gösterir. İçinde Foxitaksine herhangi bir mesaj görüntülenmez ve komutlar herhangi bir uyarı olmadan yürütülür.
Bu teknik basit, anlaşılır ve bu nedenle, PDF formatının geçen yıl istismarcıların favorisi olduğunu ve çok yüksek düzeyde istismara ulaştığını hesaba katarsak çok daha tehlikelidir.
Bunu görünce, İnternet'teki birçok makalede PDF'deki güvenlik açıklarından nasıl yararlanılacağı hakkında konuştuklarında şöyle şeyler söylediklerini hatırladım: "Kullandıkları Acrobat sürümünü, örneğin FOCA ile bulun" ve sonra istismarı inşa edin. Zavallı FOCA patlıcanlara sıkışmış ...
Buna benzer bir şey, Güvenlik Günü için hazırladığımız demodur. Bu demoda, savunmasız bilgisayarda uzak bir Kabuk almak için Acrobat Reader'daki (sürüm 9 dahil) bir güvenlik açığından yararlandık. Suistimal edilen güvenlik açığı, CVE-2009-0927 ve çalışması herhangi bir komutu yürütmeye izin verir. Yazılım savunmasızsa, aşağıdaki resimde görüldüğü gibi bir mesaj alacaksınız:
Ve kullandığımız açık, Kabuğu bir IP'ye ve netcat'i dinlemesi için ayarladığımız bir bağlantı noktasına yönlendirir.
Elbette, istismar edilen makinede Acrobat Reader işlemi Kabuk komutlarına katılarak çalışıyor.
PDF istismarlarının tehlikesini görünce, antivirüs motorlarının pdf belgelerindeki bu açıklarla nasıl davrandığını görmek için onu VirusTotal'a yüklemeye karar verdim. Daha fazla pdf belgesinin hareket ettiği bölgelerde olduğundan, e-posta yöneticisinde veya belge havuzunda kullanılan motordan bahsediyorsak, davranışını dikkate almak özellikle önemlidir. Bu özel istismarla sonuç kötü değildi, ancak yine de onu tespit edemeyen çok sayıda motor olması şaşırtıcıydı, ancak yüzde 50'ye ulaşmadı ve bazıları Kaspersky kadar çarpıcıydı. McAffe veya Fortinet.
Merak ettiğim gibi, sevgili arkadaşımıza benzer şekilde yürütülebilir dosyalar oluşturmak için bir dosya paketleyici kullanmak aklıma geldi. kırmızı bağlayıcı Thor, ancak daha az işlevselliğe sahip Jiji ve oradaydı Cyberhades'te görüldü, pdf exploitini exe uzantılı bir paketin içine koyduğumuzda kötü amaçlı yazılımdan koruma motorlarının ne yaptığını görmek için.
Bu yeni yürütülebilir dosya çalıştırıldığında, belgeyi pdf exploit ile başlatır. Aklımdan geçen alternatifler şunlardı: A) onu ambalajından çıkardılar ve daha önceki insanlar keşfettiler ve B) İçindekileri tespit edip paketleyiciyi imzaladılar, ancak sonuç şaşırtıcıydı.
2 kişiden yalnızca 42'si bunu algıladı, 1'i şüpheli olarak ve yalnızca VirusBuster formatı biliyordu ve içeriği taramak için paketi açmakla uğraştı.
Bunu gördükten sonra, Microsoft ve Adobe'nin Windows Update aracılığıyla yazılımı güncellemeyi düşündükleri ve Microsoft'un Windows Update aracı gibi diğer çözümleri entegre etmek için Windows Update Services platformunu açtığı çok doğru görünüyor. Secunia CSISystem Center Configuration Manager ve WSUS ile çalışan.
Beni daha iyi dinle DJVU ücretsiz formatını kullanın- Daha güvenlidir ve daha küçük, daha kaliteli dosyalar oluşturur.
kaynak: Takip Bilgileri
bir açıklama: pdf ayrıca ücretsiz bir formattır.
ve formatın (PDF) veya programların (Acrobat Reader, Foxit, vb.) formatın çok iyi olabilmesi, ancak onu çalıştıran programın çok kötü olması nedeniyle kimin hatası olduğunu görmek gerekir. Bu onların başına gelmeyen hiçbir iyi program olmadığı anlamına gelir (hepsi Acrobat veya Foxit kullanıyor, ancak Linux'ta daha birçok seçeneğimiz var, bunlar savunmasız olacak mı?)
Djvu'yu hiç denemedim, şimdi ne olduğunu görmek için biraz bakıyorum ve baktığım bu kısa zamanda sevmediğim küçük bir şey var, metni kopyalayamazsınız çünkü her şey bir görüntüdür. Bu şekilde sevmiyorum, genellikle okuduğum pdf'lerden bir şeyler kopyalıyorum.
Çok kullanır mıyım bilmiyorum, vektör olan pdf formatını geliştirmeyi tercih ettiğimi düşünüyorum.
Saygılarımızla
Sevgili Marcos, yorumlarınız yerinde. PDF tescilli bir formattı, ancak 1 Temmuz 2008'den beri açık bir formattır.
Her neyse, söylediğiniz doğru, bazen müşterilerin / okuyucuların bununla çok ilgisi var. Açık bir örnek, bu yazıda bildirilen durumdur.
Ve evet, .djvu metnini kopyalayamamaktan da hoşlanmıyorum. 🙁 Bununla birlikte, İngilizce Wikipedia sayfasında şöyle der: «Böylece, belirli bir fontta bir" e "harfini birden çok kez sıkıştırmak yerine," e "harfini bir kez (sıkıştırılmış bir bit görüntüsü olarak) sıkıştırır ve sonra kaydeder sayfadaki her yer.
İsteğe bağlı olarak, bu şekiller ASCII kodlarına (elle veya potansiyel olarak bir metin tanıma sistemi ile) eşlenebilir ve DjVu dosyasında saklanabilir. Bu eşleştirme varsa, metni seçmek ve kopyalamak mümkündür. » Bu, djvus'ta metin seçebileceğiniz anlamına gelir.