Поиск по этому блогу

9 мар. 2009 г.

Уязвимость в PDF можно использовать даже без открытия файла

Иногда вредоносное приложение можно запустить даже не открывая файл. Представленный видеоролик показывает, как эксплоиты, использующие уязвимость при обработке JBIG2Decode в файлах формата PDF, запускаются даже без открытия документа.


В первом случае для запуска эксплоита достаточно было лишь один раз кликнуть по документу. Во втором случае для инициации атаки потребовалось поменять режим отображения Windows Explorer, выбрав "Эскизы страниц". В таком режиме Explorer отображает первую страницу PDF в виде эскиза. Во время рендеринга изображения происходит чтение файла, и эксплоит запускается. Ну и наконец в третий раз для начала работы вредоносного кода потребовалось лишь навести мышку на изображение документа, не кликая по нему. Чтобы данный способ сработал, PDF-файл должен содержать специальным образом подобранные метаданные, обращение к которым будет произведено во время запроса дополнительной информации при наведении мышки.

А теперь подробнее остановимся на том, почему эксплоиты срабатывают даже тогда, когда пользователь не открывает документ. Ответ кроется в использовании расширений оболочки Windows Explorer. Когда ты устанавливаешь Adobe Acrobat Reader, вместе с ним устанавливается и расширение оболочки Column Handler. Оно представляет собой специальную программу (объект COM), которая позволяет Windows Explorer считывать дополнительную информацию о файлах, такую как имя автора документа и так далее. И когда файл отображается в окнах Windows Explorer, данное расширение может быть вызвано для получения информации о файле. Расширение обращается к файлу и…

Поэтому эксперты советуют быть предельно внимательными при обращении с вредоносными файлами. В случае, если их изучение необходимо для работы, они рекомендуют пользователям переименовывать расширения опасных приложений и переносить их в зашифрованном виде.

Комментариев нет:

Sociable