Исследователи в области безопасности выявили новый метод запуска исполняемых кодов, внедренных в файлы PDF-формата без использования какой-либо конкретной уязвимости системы – такая новость распространилась в средствах массовой информации в конце прошлой недели. Причем, заразиться вирусами теперь можно не только скачав документ с подозрительного сайта, но злоумышленники могут использовать и те «чистые» PDF документы, которые хранятся в вашем компьютере!
Уязвимости, позволяющие выполнение произвольного кода, являются одними из самых распространенных и опасных ошибок производителей программ, использующихся для осуществления хакерских атак. При этом Adobe Reader – одно из самых уязвимых в этом отношении приложений, постоянно зондируемое на данный предмет по причине его популярности и регулярном использовании как в среде рядовых, так и бизнес-пользователей. Именно Adobe Reader подвергает наибольшей опасности в случае заражения вредоносным кодом наибольшее количество потенциальных жертв.
По умолчанию настройки безопасности Adobe Reader предотвращают выполнение внедренных в документ посторонних бинарных файлов. Тем не менее, Дидье Стивенс (Didier Stevens), IT-консультант по вопросам безопасности в Contraste Europe Consulting Group и разработчик инструмента анализа PDFiD, утверждает, что нашел способ исполнить вредоносный код без использования уязвимости в продукте.
Вместо этого господин Стивес воспользовался легитимными командами в самой спецификации PDF-формата с помощью специальной технологии, подробности которой герой дня не пожелал раскрыть по очевидным соображениям. Метод не является прозрачным для пользователя, по крайней мере в Adobe Reader, где все же появляется диалоговое окошко с предупредительной надписью, которая как правило отображает файл, который пытается быть выполненным и информирует пользователя о риске, связанном с открытием документа. Однако Дидье Стивенс докладывает, что нашел способ обмануть доверчивого клиента Adobe, изменив содержание сообщения, что заставляет последнего все же нажать кнопку «Открыть».
Интересно, что отключение JavaScript не будет препятствовать исполнению кода, а какие-либо исправления в самой программе не приведут к устранению уязвимости, так как используется сама спецификация языка, на котором она написана. Конечно, возможно, Adobe и придумает какое-нибудь решение, однако, уже сейчас компания заявила, что это ограничит функциональность программы, а потому не имеет смысла. В любом случае, оказалось, что защиты, обеспечиваемой появлением диалогового окошка с предупреждением, не достаточно для обеспечения безопасности системы пользователя.
С Foxit Reader все оказалось еще хуже, ведь в отличие от Adobe Reader, эта программа не выдает предупреждающее сообщение, а потому пользователь сразу открывает зловредный файл. Кроме того, независимый аналитик в области безопасности Джереми Конвей, сотрудничавший с Дидье Стивенсом, продемонстрировал, что тот же метод может быть использован для заражения чистых PDF-документов, уже содержащихся в системе жертвы. «Я не буду раскрывать код, который делает возможной подобную ситуацию и не буду делиться файлами с широкой аудиторией, чтобы доказать своею концепцию. Дидье уже сообщил компаниям-производителям все необходимые подробности», - сказал Конвей.
Кстати, Foxit Software обещает в ближайшее же время выпустить патч для всего детища, который позволит если не устранить возможность использования существующей ловушки, то хотя бы сделать ее более трудоемкой.
20.04.2010
0
Комментарии
(2)
Обсуждение
oslot написал(а):
Пипец я просто в шоке, уже добрались до того что казалось не сможет принести вред. Блин теперь хоть бери и не качай эти файлы.
Ха а я еще не удивлюсь если скажут что нужно что то типа какой то платной проги что бы не попал вирус) А вообще может я и ошибаюсь)
meshman написал(а):
Пипец я просто в шоке, уже добрались до того что казалось не сможет принести вред. Блин теперь хоть бери и не качай эти файлы.
