|
En 這個很棒的帖子 今天出來的 關注信息,報告了PDF的最後也是最危險的漏洞之一,證實了我們在 我們昨天的帖子。 我講故事的寓意:更好 使用DJVU免費格式; 它更安全,可以創建更小,質量更好的文件……只是Adobe之類的“巨無霸”不支持它。 |
這些天,它遍及世界 Didier Stevens為從PDF文檔執行二進製文件所做的工作。 該技術(如果正在使用) 使用Adobe Acrobat Reader,正如他本人所說,顯示的消息可以部分修改。 在 福克斯相反,不顯示任何消息,並且執行命令時不會發出任何警報。
如果我們考慮到PDF格式是去年開發人員的最愛,達到了很高的開發水平,那麼該技術非常簡單,直接,因此非常危險。
看到這一點,我記得在互聯網上的許多文章中,當他們談論如何利用PDF中的漏洞時,他們都會說 “例如,通過FOCA找到他們使用的Acrobat版本” 然後建立漏洞利用程序。 可憐的FOCA困在那些茄子裡...
與此類似的是我們為“安全日”準備的演示,其中我們利用Acrobat Reader(包括版本9)中的漏洞在易受攻擊的計算機上獲取遠程Shell。 被利用的漏洞通常表示為 CVE-2009,0927 並且其操作允許執行任何命令。 如果該軟件易受攻擊,您將收到一條消息,如下圖所示:
我們使用的漏洞利用將外殼程序重定向到IP和端口,並在該端口上設置了netcat進行偵聽。
當然,在被利用的計算機中,Acrobat Reader進程正在運行,並且需要執行Shell命令。
看到了PDF攻擊的危險,我決定將其上傳到VirusTotal,以查看防病毒引擎如何處理pdf文檔中的這些攻擊。 如果我們談論的是電子郵件管理器或文檔存儲庫中使用的引擎,則考慮到它的行為尤為重要,因為它位於更多pdf文檔移動的地區。 使用此特定漏洞利用的結果還不錯,但是令人驚訝的是,仍然有大量的引擎沒有檢測到它,但是該百分比未達到50%,其中一些引擎與卡巴斯基,McAffe或Fortinet一樣驚人。
出於好奇,我想到使用文件打包程序來生成可執行文件,類似於我們親愛的 雷德賓德 ,但功能較少 嘰嘰 並且有 在賽博毒籠中看到,以了解當我們將pdf漏洞利用程序擴展為exe的程序包時,反惡意軟件引擎做了什麼。
這個新的可執行文件在運行時會使用pdf漏洞啟動文檔。 我想到的替代方法是:A)他們將其打開包裝,然後人們才發現它; B)他們直接從檢測裡面的東西開始並給包裝員簽名,但是結果令人驚訝。
2個中只有42個檢測到該格式,其中1個可疑,只有VirusBuster知道該格式,然後麻煩將其拆包以對其進行掃描。
看到這一點之後,在我看來,Microsoft和Adobe正在考慮通過Windows Update更新軟件,並且Microsoft已開放其Windows Update Services平台以集成其他解決方案(例如Windows Update代理),這是非常正確的。 決明子,可與System Center Configuration Manager和WSUS一起使用。
好聽我說 使用DJVU免費格式-它更安全,可以創建更小,質量更好的文件。
來源: 關注信息
澄清:pdf也是免費格式。
並且,如果是格式(PDF)或程序(Acrobat Reader,Foxit等),則必須查看是誰的錯誤,因為格式可能很好,但是執行該程序的程序卻很糟糕,而事實並非如此。這意味著沒有好的程序不會發生這種情況(它們都使用Acrobat或Foxit,但是在Linux中,我們還有更多選擇,這些程序是否容易受到攻擊?)
我從沒嘗試過djvu,現在我稍微看了一下它的含義,並且有一點我不喜歡的東西,在我看的那段時間內,您無法複製文本,因為所有內容都是圖像。 我不喜歡這種方式,通常會從閱讀的pdf中復制內容。
我不知道我是否會經常使用它,我想我更喜歡改進矢量的pdf格式。
問候
親愛的馬科斯,您的評論到位了。 PDF是一種專有格式,但是自1年2008月XNUMX日起,它是一種開放格式。
無論如何,您有時確實會說客戶/讀者與它有很大關係。 一個明顯的例子就是這篇文章中報導的情況。
是的,我也不喜歡也無法複製.djvu的文本。 🙁但是,在英語Wikipedia頁面上,它說:“因此,不是多次壓縮給定字體中的字母”,而是一次壓縮了字母“ e”(作為壓縮的位圖),然後進行記錄頁面上出現的每個位置。
可選地,這些形狀可以映射到ASCII碼(手動或可能通過文本識別系統),並存儲在DjVu文件中。 如果存在此映射,則可以選擇和復製文本。 這意味著您可以在djvus中選擇文本。