今年3月,安全研究人員Didier Stevens展示如何利用PDF的規格在PDF檔案中嵌入執行檔,近日資安業者NitroSecurity產品經理Jeremy Conway就創造出另一概念性驗證程式,並表示他可在PDF檔案中嵌入任何他想要執行的檔案,亦可用來感染電腦內的其他PDF檔,形成類似蠕蟲式的感染行為。

值得注意的是,Stevens及Conway所利用的並不是PDF或PDF reader的漏洞,也不是傳統認為的病毒或蠕蟲,而是PDF所允許嵌入的檔案格式。

Conway所示範的概念性驗證程式是在使用者開啟PDF檔後自動啟動瀏覽器,並將其連結到Conway的網站。他強調該程式很容易就被修改,而且有能力感染電腦中每個PDF檔。

Conway說明,駭客得以打造一個惡意的PDF檔案,內含鎖定PDF應用程式安全漏洞的攻擊程式,假設駭客在檔案中嵌入了感染功能,那麼每一個存在使用者電腦中的PDF都會受到影響,使用者可能不經意地傳遞這些原本受到信任的檔案而形成蠕蟲式的感染途徑。

在後來發表的文章裡Coneay表示,基本上這並不符合傳統的病毒或蠕蟲定義,而是PDF兩項功能的錯誤使用:/Launch及更新程序。

資安業者F-Secure研究長Mikko Hypponen表示,PDF檔案格式的規格顯示PDF允許使用者嵌入各式內容,包括影片、聲音、3D物件,亦可啟動應用程式及JavaScript等,但他質疑相關功能存在的必要性。

對於Didier Stevens所提出的問題,Adobe回應指出,這說明了某些功能若使用不當會帶來怎樣的潛在風險。Adobe正在研究這項功能可以有怎樣的最佳做法,並希望能夠在定期更新裡修補該問題。

Conway建議使用者限制PDF閱讀工具的功能,讓相關工具不支援PDF所嵌入的額外檔案格式,或是使用雲端的閱讀工具。Adobe則建議,使用者若有安全疑慮,可到喜好設定裡更改「信賴管理員」(Trust Manager)。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容