Επικίνδυνο κενό ασφαλείας στα PDF

[chrand]

Ένας Βρετανός ερευνητής σε θέματα ασφαλείας ανακάλυψε έναν τρόπο να εκμεταλλευτεί νόμιμες λειτουργίες των αρχείων Adobe PDF για να ενεργοποιήσει "πίσω πόρτες", αφήνοντας έτσι έναν υπολογιστή εκτεθειμένο σε επιθέσεις. Ο λόγος για τον David Kierznowski, ο οποίος δημοσίευσε τον κώδικα που αποδεικνύει τον ισχυρισμό του, επιδεικνύοντας πώς, ακόμη και ένα πρόγραμμα όπως το Adobe Reader, μπορεί να χρησιμοποιηθεί για να αποκτήσει ένας hacker πρόσβαση σε ένα PC, χωρίς να χρειαστεί κάποια ενέργεια από τη μεριά του χρήστη.

Αυτό το back door μπορεί να επηρεάσει ακόμη και μια έκδοση του Adobe Reader που έχει ενημερωθεί με όλα τα τελευταία patches. Από τη στιγμή που θα ανοιχτεί το επικίνδυνο έγγραφο, ο browser του χρήστη ξεκινά αυτόματα και κατευθύνεται προς το link που αυτό περιέχει. Από εκεί κι έπειτα, είναι φανερό πως μπορεί κάποιος να εκμεταλλευτεί αυτή τη διαδικασία για να φορτώσει επικίνδυνο κώδικα. Σύμφωνα με τον Kierznowski, με ανάλογο τρόπο μπορεί να χρησιμοποιηθεί και το Adobe Acrobat Professional.

Εκπρόσωποι της Adobe δήλωσαν πως είναι ενήμεροι για το κενό ασφαλείας του προγράμματος και το ερευνούν. Αν η Adobe επιβεβαιώσει και επίσημα ότι υφίσταται τέτοιο πρόβλημα, θα δημοσιεύσει πληροφορίες για την αντιμετώπισή του.

Πηγή: PC Magazine
http://www.e-pcmag.gr/modules/news/a...p?storyid=2419

[Gemalde]

επιδεικνύοντας πώς, ακόμη και ένα πρόγραμμα όπως το Adobe Reader, μπορεί να χρησιμοποιηθεί για να αποκτήσει ένας hacker πρόσβαση σε ένα PC, χωρίς να χρειαστεί κάποια ενέργεια από τη μεριά του χρήστη.

Από τη στιγμή που θα ανοιχτεί το επικίνδυνο έγγραφο, ο browser του χρήστη ξεκινά αυτόματα και κατευθύνεται προς το link που αυτό περιέχει.

Μα το να ανοίξεις ένα "επικίνδυνο" pdf θεωρείται ενέργεια του χρήστη.

[gentux]

Μα το να ανοίξεις ένα "επικίνδυνο" pdf θεωρείται ενέργεια του χρήστη.

Ακριβώς!

[nobig]

πόσες φορές σκανάρετε όμως τα pdf?

[Πύρρος]

Μα το να ανοίξεις ένα "επικίνδυνο" pdf θεωρείται ενέργεια του χρήστη.

Το θέμα είναι ότι δεν θα έπρεπε να υπήρχαν "επικίνδυνα" pdf. Για τον βασικό σκοπό ενός pdf (να αποθηκεύσει σε ηλεκτρονική μορφή μια τυπωμένη σελίδα), δεν χρειαζεται ούτε javascript ούτε αυτόματα ανοίγματα αρχείων από το internet.

Δεν λέω, καλά τα features, αλλά η adobe το έχει παρακανει λίγο.

[mgv]

Aν δεν κάνω λάθος υπάρχει και το ABBY Finereader και ένας παρόμοιο πρόγραμμα της microsoft

[weakwire]

Το θέμα είναι ότι δεν θα έπρεπε να υπήρχαν "επικίνδυνα" pdf. Για τον βασικό σκοπό ενός pdf (να αποθηκεύσει σε ηλεκτρονική μορφή μια τυπωμένη σελίδα), δεν χρειαζεται ούτε javascript ούτε αυτόματα ανοίγματα αρχείων από το internet.

Μα το acrobat reader δε κάνει τίποτα από αυτά ούτε οι προγραμματιστές τους το σχεδίασαν έτσι.
Απλά όταν ανοιγεί το περίεργο pdf αυτό περιέχει τα δεδομένα με τέτοιο τρόπο έτσι ώστε το σύστημα να συμπεριφερθει αλλιως.buffer /heap overflow και άλλες πολλές τεχνικές.

Ένα τελευταίο παρόμοιο παράδειγμα (από αρχείο που όλοι θεωρούμε safe είναι τα μολυσμένα jpg αρχεία).Κανονικό αρχείο ήταν αλλά όταν άνοιγε από τον default jpg manager των windows εκτελούσε σύστημα shellcode άσχετο με τους τρόπους που έχει φτιαχτεί αυτό

[MNP-10]

Ειμαι περιεργος κατα ποσο επηρεαζονται αλλα pdf readers. Γιατι αν δεν επηρεαζονται θα εχουμε αλλη μια περιπτωση, πιθανον εσκεμμενου backdoor σε κλειστο κωδικα.

[weakwire]

Ειμαι περιεργος κατα ποσο επηρεαζονται αλλα pdf readers. Γιατι αν δεν επηρεαζονται θα εχουμε αλλη μια περιπτωση, πιθανον εσκεμμενου backdoor σε κλειστο κωδικα.

καθόλου δε θα επιρρεάζονται.Είναι σα να λές ότι ένας ιος σε windows χτυπάει linux.Η πιθανότητα είναι μιδαμινη
Εσκεμμένο backdoor πάλι το αποκλείω

[Πύρρος]

Δηλαδή μόνο εγώ βλέπω μια καρτέλα javascript στα preferences του acrobat 7;

Το πρόβλημα δεν ήταν κάποια προγραμματιστική αδυναμία σε ένα συγκεκριμένο viewer ή βιβλιοθήκη. Είναι απλά feature bloat χωρίς καλό σχεδιασμό και ασφαλή defaults από την adobe. Οσοι 3rd party clients τη γλύτωσαν, τη γλύτωσαν γιατί δεν έχουν κάνει implement όλα τα μπλικιμπλίκια.

Λίγη κουβέντα για το θέμα: http://it.slashdot.org/it/06/09/15/239205.shtml

[MNP-10]

καθόλου δε θα επιρρεάζονται.Είναι σα να λές ότι ένας ιος σε windows χτυπάει linux.Η πιθανότητα είναι μιδαμινη
Εσκεμμένο backdoor πάλι το αποκλείω

Βασικα οταν λεει για αδυναμια του format η ειδηση, ειναι σαν να σηκωνει το βαρος απ'το adobe reader / acrobat και να τα ριχνει στο .pdf.

Αν φταιει το acrobat ειναι τελειως αλλη υποθεση. Οσο για εσκεμμενα backdoors οταν αφορα αμερικανικες εταιριες, ενα θα σου πω: Μη βαζεις το χερι σου στη φωτια. Αν παλι φταιει το script bloat ε αυτα ολοι ξερουν που οδηγουν..

edit: Σκεφτομουν τωρα τις επιπτωσεις σε σχεση με non-open source but free software... Μπορει να εχει βαλει καποιος ολο το linux με 4000 πακετα/προγραμματα και το adobe acrobat και να του κανει εκεινο το backdoor αναμεσα σε τοσες χιλαδες προγραμματα. Ηθικο διδαγμα: Ξεπατωστε τα non-oss.

[Πύρρος]

Αν και διάφορες εκδόσεις του pdf έχουν γίνει iso standards, η ανάπτυξή του γίνεται από την adobe. Από αυτή την άποψη, pdf και acrobat είναι κάπως αλληλένδετα.

Βέβαια, ακόμα και αν ένα .pdf έχει τη δυνατότητα να κουβαλάει scripts ο reader θα μπορούσε να τα έχει off by default μέχρι ο χρήστης να πατήσει το κουμπάκι που λέει [Ναι, εμπιστεύομαι τον συγγραφέα αυτού του αρχείου και θέλω να τρέξω τα scripts που περιέχει].

[babality]

Αυτό το back door μπορεί να επηρεάσει ακόμη και μια έκδοση του Adobe Reader που έχει ενημερωθεί με όλα τα τελευταία patches.

Οπως γινεται σχεδον σε ολες τις περιπτωσεις.
Οσο για το θεμα γενικα...Και που σαι ακομα

[gkandir]

Εγώ χρησιμοποιώ τον Foxit Reader.
Να υποθέσω ότι, ως πολύ πιο light εφαρμογή, είναι και πιο ασφαλής; Δεν το ξέρω - ελπίζω...

[baskin]

kpdf εγγύηση.