En цей чудовий пост що вийшов сьогодні в Інформація про підписку, повідомляється про одну з останніх і найнебезпечніших вразливостей PDF-файлів, що підтверджує те, про що ми розповіли наш пост вчора. Я просуваю мораль історії: краще використовувати вільний формат DJVU; він безпечніший і створює менші, якісніші файли ... його просто не підтримує "гігант", як Adobe. |
У наші дні це відбувається по всьому світу робота, яку Дідьє Стівенс зробив, щоб виконати двійкові файли з PDF-документа. Техніка, якщо вона використовується Adobe Acrobat Reader, показує повідомлення, яке може бути, як він сам каже, частково змінено. В FoxItнавпаки, жодне повідомлення не відображається, а команди виконуються без попереджень.
Ця техніка проста, зрозуміла, а отже, дуже небезпечна, якщо взяти до уваги, що формат PDF був улюбленим у експлуататорів минулого року, досягнувши дуже високих рівнів експлуатації.
Побачивши це, я згадав, що в багатьох статтях в Інтернеті, коли вони говорять про те, як використовувати вразливі місця в PDF, вони говорять такі речі, як "Знайдіть версію Acrobat, яку вони використовують, наприклад, за допомогою FOCA" а потім побудуйте експлойт. Бідний FOCA застряг у цих баклажанах ...
Щось схоже на це була демонстрація, яку ми підготували до Дня безпеки, в якій ми використали вразливість в Acrobat Reader (включаючи версію 9), щоб отримати віддалену оболонку на вразливому комп’ютері. Використовувана вразливість характеризується як CVE-2009-0927 і його робота дозволяє виконувати будь-яку команду. Якщо програмне забезпечення вразливе, ви отримаєте повідомлення, подібне до того, яке видно на наступному зображенні:
І експлойт, який ми використовуємо, перенаправляє Shell на IP і порт, на якому ми встановили netcat для прослуховування.
Звичайно, в експлуатованій машині запущений процес Acrobat Reader, який відповідає командам Shell.
Побачивши небезпеку експлойтів PDF, я вирішив завантажити його на VirusTotal, щоб побачити, як антивірусні механізми поводяться з цими експлойтами в PDF-документах. Особливо важливо враховувати його поведінку, якщо ми говоримо про механізм, який використовується в менеджері електронної пошти або у сховищі документів, оскільки він знаходиться на тих територіях, куди переміщується більше PDF-документів. Результат з цим конкретним подвигом був непоганим, але дивувало те, що все ще існувала велика кількість двигунів, які цього не виявляли, але відсоток не досягав 50%, і, деякі з них, такі ж вражаючі, як Касперський, Макаффе або Фортінет.
Як цікавість, мені спало на думку використовувати пакувальник файлів для створення виконуваних файлів, подібних до нашого дорогого Редбіндер Тора, але з меншими функціональними можливостями Дзіджі і було бачимо в Кіберхейдах, щоб побачити, що зробили механізми захисту від шкідливих програм, коли ми помістили експлойт pdf всередину пакета з розширенням exe.
Цей новий виконуваний файл при запуску запускає документ із використанням pdf. Альтернативи, які мені спали на думку, були: A) вони розпаковують його та люди, які раніше не виявляли це, і B) Вони прямують, щоб виявити, що знаходиться всередині, та підписати пакувальник, однак результат був несподіваним.
Лише 2 з 42 виявили його, 1 як підозрюваного, і лише VirusBuster знав цей формат і зробив неполадки, розпакувавши вміст для сканування.
Побачивши це, мені здається дуже правильним, що Microsoft та Adobe розглядають можливість оновлення програмного забезпечення через Центр оновлення Windows і що Microsoft відкрила свою платформу Служб Windows Update Services для інтеграції інших рішень, таких як агент Windows Update CSI Secunia, який працює з System Center Configuration Manager та WSUS.
Послухай мене краще використовувати вільний формат DJVU- більш безпечний і створює менші, якісніші файли.
Фуенте: Інформація про підписку
роз’яснення: pdf - це також вільний формат.
і потрібно було б дізнатись, чия це помилка, якщо формат (PDF) або програми (Acrobat Reader, Foxit тощо), оскільки формат може бути дуже хорошим, але програма, яка його виконує, дуже погана, і що чи не Це означає, що немає хороших програм, що з ними цього не трапляється (усі вони використовують Acrobat або Foxit, але в Linux у нас є набагато більше варіантів, чи будуть вони вразливими?)
Я ніколи не пробував djvu, зараз я трохи дивлюсь, щоб побачити, що це таке, і в ньому є така дрібниця, яка мені не подобається за цей маленький час, коли я дивлюсь на неї, ви не можете копіювати текст, оскільки все зображення. Мені це не подобається, я зазвичай копіюю речі з pdfs, які я читаю.
Не знаю, чи б я його багато використовував, я вважаю, що віддаю перевагу вдосконаленню формату pdf, який є векторним.
що стосується
Шановний Маркосе, Ваші коментарі помітні. PDF був власним форматом, але з 1 липня 2008 року він є відкритим.
У будь-якому випадку, це правда, що ви кажете, що іноді клієнти / читачі мають з цим багато спільного. Яскравим прикладом є випадок, про який повідомляється в цій публікації.
І так, мені також не подобається неможливість копіювати текст .djvu. 🙁 Однак на сторінці англійської Вікіпедії сказано, що: «Таким чином, замість того, щоб стискати літеру« e »у даному шрифті кілька разів, він стискає букву« e »один раз (як стиснене бітове зображення), а потім записує кожне місце на сторінці це відбувається.
За бажанням ці фігури можуть бути зіставлені з кодами ASCII (або вручну, або потенційно системою розпізнавання тексту) і зберігатися у файлі DjVu. Якщо це відображення існує, можна виділити та скопіювати текст ». Це означає, що ви можете вибрати текст у djvus.