Gå til hovedindhold
Version2 it for professionelle
Forsiden

Hovedmenu

  • It-nyheder
  • Blogs
  • It-job
  • It-firmaer
  • Whitepapers
  • Opret bruger
  • Log ind
Du kan logge ind med din e-mail-adresse
Der er forskel på store og små bogstaver i adgangskoden.
Glemt adgangskode?
Se kommentarer (10)
Emner Sikkerhedshuller

PDF-hack afvikler programkode uden hjælp fra sårbarheder

Ved at bruge PDF-sproget kreativ er det muligt at afvikle et indlejret program i en PDF-fil uden at skulle udnytte en sårbarhed. I Foxit-læseren sker det helt uden advarsel.

Af Jesper Stein Sandal Onsdag, 31. marts 2010 - 8:16

Sikkerhedshuller i Adobe Reader er inden for de seneste år blevet de it-kriminelles foretrukne mål, men selv uden sikkerhedshuller i softwaren kan PDF-filer være farlige at åbne.

Sikkerhedseksperten Didier Stevens demonstrerer på sin blog, hvordan kreativ brug af PDF-sproget gør det muligt at få flere PDF-læsere til at køre et program, som er skjult i PDF-filen.

Adobe Reader klarer sig faktisk marginalt bedre i denne sammenhæng end én af de alternative PDF-læsere, Foxit Reader. I Adobe Reader får brugeren en dialogboks med en advarsel, som det ifølge Didier Stevens dog er muligt at spoofe en del af indholdet af. På den måde kan angriberen forsøge at narre brugeren til at ignorere advarslen.

I Foxit Reader bliver programmet imidlertid afviklet uden advarsel, så brugeren får ikke en chance for at opdage problemet, før det er for sent.

Ifølge Didier Stevens skal hans hack dog tilpasses, før programmet faktisk kommer til at køre fra Foxit Reader, men det skyldes angiveligt forskelle i implementeringen af PDF-sproget snarere end at Foxit Reader skulle være sikker.

I andre PDF-læsere som PDF-Xchange og Sumatra til Windows-platformen virker det hack, som Didier Stevens har frigivet en demonstration af, ikke uden yderligere tilpasning.

Send Tweet
Udskriv

IT-job & karriere

  • Se alle it-job
  • Importer din kompetenceprofil fra LinkedIn
It-udvikler
Udgivet 7. jun 14.53
Effektiv it-udvikler
Udgivet 7. jun 14.45
Optimization software developer, Maersk Line, Copenhagen
Udgivet 11. jun 14.11
Er du den du kender der ved mest om .NET?
Udgivet 23. maj 14.59

Kommentarer (10)

Opret en konto eller log ind for at følge indhold på Version2 - og bliv opdateret via e-mail eller rss

Følg kommentarer
Ove Andersen 31. mar. 2010 - 09.08
 
R.I.P.?

Er PDF efterhånden på vej mod en tidlig død, pga. fejl og exploits?

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Jesper Lund Stocholms billede
Jesper Lund Stocholm 31. mar. 2010 - 09.11
 
Re: R.I.P.?

Hej Ove,

Er PDF efterhånden på vej mod en tidlig død, pga. fejl og exploits?

Exploitet er jo ikke i PDF selv men i PDF-læsere.

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Jens Trinskjær 31. mar. 2010 - 09.39
 
Ingen sårbarheder?

Giver det mening at sige, at et program gør noget utilsigtet uden at der er tale om en sårbarhed? Er det beskrevne ikke netop et eksempel på en sårbarhed?

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Lean Fuglsang 31. mar. 2010 - 09.47
 
Re: Ingen sårbarheder?

Det er vel standarden der foreskriver at programmet skal opføre sig på den måde. Så er det ikke en sårbarhed i programmet, men i standarden, og så hedder det ikke sårbarhed mere men 'broken by design'...

Som Didier siger: 'I’m not exploiting a vulnerability, just being creative with the PDF language specs'

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Ove Andersen 31. mar. 2010 - 09.48
 
Re: R.I.P.?

Det er korrekt, men det medvirker jo til at ødelægge ryet for PDF dokumenter, hvis folk ikke tør åbne dem.

Hvad nu, når der kommer en virus som forgifter alle ens lokale pdf dokumenter med en fejl som gør, at læsere vil eksekvere kode så snart dokumenterne åbnes. Så sender man en af sine forgiftede PDFer videre, og denne eksekverer så noget kode, som forgifter alle modtagerens PDF dokumenter. And on it goes.. Så er der der ikke meget troværdighed tilbage. PDF lider i forvejen nok under alle de fejl der er i Adobes læser.

Og siden det ikke umiddelbart er en sårbarhed, men en feature, så er det jo lidt problematisk når det er i selve dokumentstandarded fejlen ligger.

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Christian E. Lysel 31. mar. 2010 - 12.25
 
Re: R.I.P.?

Jesper Lund Stocholm, 31. marts 2010 09:11

Exploitet er jo ikke i PDF selv men i PDF-læsere.

Hvornår laver Adobe en PDF-læser, der kun kan læse PDF filer?

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Frank Damgaard 31. mar. 2010 - 12.30
 
PDF gør desværre som den skal.

PDF-koden bruger jo "/OpenAction " som nok aldrig burde være opfundet til PDF.

... og det burde som minimum være muligt globalt at slå det fra i en PDF-viewer, hvis funktionen overhovedet er blevet implementeret.

Sikkerhedshul er det vel kun hvis man kan manipulere med pop-up-teksten, eller pdf-vieweren undlader at advare inden den udfører ekstern kode.

I øvrigt på eksterne-links-siden er der link til en blog hvor der er en simpel calc.pdf der også virker med linux + mac (kalder så hhv. xcalc eller Calculator.app).

Evince og xpdf i linux ser ikke ud til at udføre noget (sikkert ikke implementeret).
Acroread, også i linux, udfører filen, men kun efter at man i pop-up har godkendt at ville udføre filen. Jeg kan dog ikke finde et global sted i acroread for at slå funktionen helt fra.

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Jesper Lund Stocholms billede
Jesper Lund Stocholm 31. mar. 2010 - 13.09
 
Re: Ingen sårbarheder?

Hej Lean,

Det er vel standarden der foreskriver at programmet skal opføre sig på den måde.

Det er bestemt ikke nødvendigvis tilfældet. Applikationsspecifik opførsel er som oftest udeladt i dokumentformat-specifikationer. At sårbarheden virker på tværs af flere applikationer synes jeg indikerer, at det netop er et område, der ikke er dækket af specifikationen.

Så er det ikke en sårbarhed i programmet, men i standarden, og så hedder det ikke sårbarhed mere men 'broken by design'...

Det er jeg ikke enig med dig i. Dit argument svarer til, at klandre ODF for at være "usikkert" [0] fordi OOo tillader afvikling af makroer uden brugerens accept (det gør den ikke, skal jeg huske at sige - det er blot et eksempel).

"Launch actions" er definerede i afsnit "12.6.4.5 Launch Actions", og her er ingen guidance til, hvordan en givet applikation skal håndtere afvikling af programmer etc.

PS: det ser ud til, at man kan anvende URIs i disse actions som reference til placeringen af den indlejrede fil. Dette kunne evt være et endnu større problem end det her påpegede.

[0] s/ODF/OOXML, s/OOo/MicrosoftOffice, s/HTML/IE6 (afvikling af arbitrær kode)

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Jacob Christian Munch-Andersen 31. mar. 2010 - 16.23
 
Re: R.I.P.?

PDF er, uanset standardisering, en abomination. Der er tilføjet et hav af underlige features, der er tilskrevet og lavet om utallige gange. Det er måske nok ikke selve standarden sikkerhedshullerne befinder sig i, men det er da klart at chancen for sikkerhedshuller bliver meget større når man skal implementere sådan et rod.

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer
Jesper Poulsen 1. apr. 2010 - 02.34
 
Re: R.I.P.?
men det er da klart at chancen for sikkerhedshuller bliver meget større når man skal implementere sådan et rod.

Hvis man nøjes med at implementere ISO 32000-1:2008?

  • Stem op 0
  • Stem ned 0
  • anmeld
  • Log ind eller opret en konto for at skrive kommentarer

Tilføj kommentar

Opret en konto eller log ind for at følge indhold på Version2 - og bliv opdateret via e-mail eller rss

Følg kommentarer
Log ind herunder eller opret en bruger for at skrive kommentarer
Du kan logge ind med din e-mail-adresse
Der er forskel på store og små bogstaver i adgangskoden.
Glemt adgangskode?

Seneste nyt

Studerende tvunget til digital eksamen på batteri: KU forbyder pc-strømforsyninger

Udgivet 20. jun 11.37Opdateret 20. jun 11.37

Dansk fyringsrunde i Tata: 60 ud af 60 ramte arbejder med TDC-opgaver

Udgivet 20. jun 10.44Opdateret 20. jun 11.27

Ingen nye CPR-numre til danskerne efter CSC-hacking

Udgivet 20. jun 10.38Opdateret 20. jun 10.38

Microsoft var klar til at købe Nokia - prisen lagde forhandlinger på køl

Udgivet 20. jun 9.55Opdateret 20. jun 11.23

Oracle frigiver serverudgaven af Java 7 i skyggen af forsinket Java 8

Udgivet 20. jun 8.50Opdateret 20. jun 11.13

Flere it-nyheder »

Tilmeld dig Version2's it-nyhedsbrev og vind en iPad mini.

Whitepapers

Version2 Insight: Bring Your Own Device (BYOD)

Mediehuset Ingeniøren

Version2 Insight: Business analytics

Mediehuset Ingeniøren

MobileTest Service – App Performance Evaluation

Testhuset

IT challenges in the mobile community

Interxion Danmark

Redpill Linpro Learning Management System

Redpill Linpro
  • Flere whitepapers

Branchenyheder

Projectplace opnår ISO sikkerhedscertificering

Projectplace

Komplex it er blevet leverandør af Verde VDI i hele Norden

Komplex IT

Anbragte unge jubler over bærbare

GlobalConnect

Talend - førende open source produkt - har fået dansk support

Viteco

Samarbejde med open-source softwareproducenten SUSE

Komplex IT

It-virksomheder

Agema
|
Visma Sirius A/S
|
Valeo
|
4C Management Consulting
|
Motus
|
C-Tilsted
|
Simpelt Regnskab
|
Ubivox
|
Hera IT
|
Eksponent
|
Black Box
|
Siemens
 

Information

  • Kontakt redaktionen
  • Job- og annoncesalg
  • Teknisk support
  • Om Version2
  • Brugerbetingelser
  • Cookie- & privatlivspolitik

Aktuelle emner

  • Business Intelligence
  • CSC-hacking
  • Cloud computing
  • Intranet
  • It-sikkerhed
  • NSA Prism
  • NemID
  • Open source CMS
  • Projektledelse
  • Scrum
  • Storage
  • Virtualisering
  • Windows 8
  • iOS 7

Tjenester

  • iPhone-app
  • RSS-feeds
Følg @version2dk
Tilmeld dig Version2's it-nyhedsbrev og vind en iPad mini.

Version2 udgives af

  • Mediehuset Ingeniøren A/S work Trekronergade 26 2500 Valby
  • Tlf. work 33265300