Szerző: Bodnár Ádám

2010. április 02. 09:22:00

Nem biztonságos a PDF

Egy szemfüles biztonsági szakértő olyan módszert talált ki, amivel a PDF állományok megnyitásukkor tetszőleges kódot indíthatnak el, a felhasználó tudta és beleegyezése nélkül. Nem szoftversebezhetőségről, hanem a PDF specifikáció újszerű használatáról van szó.

Tetszőleges kód futtatható bármelyik számítógépen PDF állományokból, és ehhez még szoftversebezhetőséget sem kell kihasználni, figyelmeztet Didier Stevens, a Contraste Europe biztonsági szakértője. Stevens a blogjában tette közzé annak a módszernek a leírását, amelynek segítségével az Adobe Reader és a Foxit Reader PDF-olvasó az állomány megnyitásakor lefuttatja a kódot, a PDF fájlformátumban található parancs segítségével.

Az Adobe Reader figyelmezteti a felhasználót, amikor kódindításra kerül sor, azonban Stevensnek sikerült módosítania a párbeszédablakot, amelyben a figyelmeztetés helyett olyan üzenet jelenik meg, amely kimondottan kéri a felhasználótól, hogy hagyja jóvá az indítást. A Foxit Readerben nincs figyelmeztető üzenet, a PDF-be ágyazott kód a felhasználó tudta és beleegyezése nélkül elindul.

Stevens nem hozta nyilvánosságra a speciális kódokat, amelyek segítségével megkerülhető az Adobe Reader védelme, de elérhetővé tett egy PDF-fájlt, amely a windowsos parancssort (cmd.exe) indítja el, ezzel bárki letesztelheti saját PDF-olvasóját. A szakértő szerint Windows XP SP3 és Windows 7 operációs rendszeren az Adobe Reader 9.3.1 verziója biztosan átverhető, A probléma ellen a Reader frissítése sem jelent gyógyírt, mivel nem sebezhetőség kihasználásáról van szó, hanem a PDF nyelv specifikációjának \"kreatív használatáról\", írja a blogjában Stevens.

\"\"

Megoldást jelenthet ugyanakkor, ha a Reader számára megtiltjuk új folyamat létrehozását, ennek módját a biztonsági szakértő korábbi blogbejegyzése ismerteti. Stevens elmondása szerint már megosztotta a szükséges információkat az Adobe-val és a Foxittel. A Foxit bejelentette, még ma elérhetővé teszi olvasójának frissítését, amely kódfuttatás előtt figyelmeztetést jelenít meg.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 25. 14:46

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.