Kolejny exploit w pliku PDF
Didier Stevens odkrył sposób na wykonanie kodu za pomocą pliku PDF bez wykorzystywania żadnych luk w czytniku.
01.04.2010 | aktual.: 01.04.2010 22:39
Sposób ten działa na różnych czytnikach. W przypadku Adobe Readera po otwarciu dokumentu wyświetlane jest okienko z pytaniem o zezwolenie na uruchomienie programu. W okienku tym znajduje się ostrzeżenie przed potencjalnym niebezpieczeństwem. Twórca pliku PDF ma jednak wpływ na dodatkową treść wyświetlaną w tym okienku, może więc umieścić tam tekst nakłaniający ofiarę do zezwolenia na wykonanie programu. W przypadku programu Foxit Reader ostrzeżenie nie pojawia się w ogóle i program jest uruchamiany automatycznie. Stevens nie opublikował szczegółów swego odkrycia, przekazał je firmie Adobe. Z jego strony można jednak pobrać mały plik PDF opublikowany jako Proof of Concept, który uruchamia okienko konsoli (cmd.exe).
Przy okazji Stevens prezentuje swoje zabezpieczenie w postaci biblioteki, która po wstrzyknięciu do procesu blokuje uruchamianie przez niego innych procesów. Jest to prosty ale dosyć skuteczny sposób ograniczania ataków wykonywanych przez wirusy. Opcję uruchamiania innych programów można też wyłączyć w ustawieniach niektórych czytników.