Сервер в кармане, или просто о сложном!

Атака через PDF, не требующая особых уязвимостей

07.05.2010 [Источник]

Дидье Стивенс (Didier Stevens) продемонстрировал возможность частичного управления сообщением, которое выдает Adobe Reader при запуске включенного в pdf исполняемого файла (в принципе, Reader не дает запускать включенные exe-файлы, но нашелся способ обойти и это).

Предупреждение выводится в текстовое поле высотой всего в три строки, и у создателя pdf-файла есть возможность добавить к тексту сообщения достаточно строк, чтобы пользователь увидел лишь их, ну а дальше за дело принимается старая добрая социальная инженерия. Все, что используется при подобной атаке - вполне штатные средства PDF, запрет JavaScript никак на нее не влияет. По словам Стивенса, у Foxit Reader дела еще хуже - он вообще не выдает предупреждений о запуске, хотя данный конкретный пример на нем пока и не удалось завести.

Формат PDF уже не раз и не два становился предметом всевозможных атак и уловок чтобы запустить на компьютере пользователя всякую "пакость". Регулярно обновляйте Adobe Reader. Хоть и есть всякие FoxitReader-ы, все-таки надо признать, что большинство компьютеров (в корпоративных сетях так вообще поголовно) используют именно Adobe Reader. Как регулярно обновлять Adobe Reader в корпоративной сети с использованием Active Directory и групповых политик на примере обновления Mozilla Firefox см. в статье "Автоматическая установка программ в домене Windows".


[<<< Следующая новость]  [Все новости]  [Предыдущая новость >>>]