Antivírus blog

vírusok, férgek, botnetek, kártevők

Smaller, shorter, smarter

2007. október 25. 13:30 - Csizmazia Darab István [Rambo]

A sok kisebb South Park epizód után egyszercsak megjelent a Bigger, longer, uncut egész estét betöltő moziként. Aki bírja ezt a stílust, az örült ennek a növekedésnek. Nézzük meg mi most ebből a szempontból az Adobe ingyenes PDF olvasóját, vajon egy átlagos teljesítményű gépen mi vár ránk verzióról verzióra, örülünk-e a plusz megáknak és jó dolog-e alternatív böngészőt, alternatív PDF olvasót használni? Kísérletezünk, és jól nekieresztjük a 0day PDF próbakódot (PoC) a programoknak.



Hogy az Internet Explorer monnyon le, használjunk helyette például pluginekkel ékesített Firefoxot, arról már korábban értekeztünk. Az Adobe Readert vizsgálva azt láthatjuk, verzióról verzióra hízik a telepítőcsomag méret, és az egyre lassuló működési sebesség azt is lehetővé teszi, hogy egy-egy terjedelmesebb dokumentum megnyitása után ne csak türelmetlenül doboljunk az asztalunkon, hanem még kávézni is elmehessünk.



A kávéfüggők emiatt múlhatatlanul hálásak lehetnek, de mit tehetünk mi belgák? Nézzünk valami más lehetőséget! A Foxit Reader egy szintén ingyenes alternatíva, háztáji használatra - ha nem nyomdába dolgozunk - tökéletesen megteszi, és a megjelenítés tökéletes, a betöltés sebessége pedig nagyságrendekkel alázza le a nagy testvért. Hogy ezenkívül még mit tesz és mit nem tesz, arra mindjárt visszatérünk pár sorral lejjebb.



Az Index írásában arról olvashatunk, elindultak a PDF hibát kihasználó valódi kártevők, most éppen valamilyen számlázással kapcsolatos levélmellékletként érkeznek az áldozatokhoz. A PDF hibáról szóló leírás több verziót is érint, Krisztustól napjainkig egy hosszú lista foglalja össze a sebezhető alkalmazásokat: "az Adobe Reader 8.1, az Adobe Reader 7.0.9, az Adobe Acrobat Professional 8.1, az Adobe Acrobat Professional 7.0.9 vagy az ezeknél régebbi verziók esetében jelentenek veszélyt. Továbbá csak akkor használhatók fel kártékony célokra, ha a felhasználó Windows XP vagy Windows Server 2003 operációs rendszert és Internet Explorer 7 webböngészőt futtat a számítógépén." Itt máris kaján vigyor jelenhet meg az orcánkon - úgy kell annak, aki még mindig ezzel böngészik ;-) A kísérletünkhöz kiválasztunk egy korábbi Adobe csomagot, és a 7.0-ás angol Reader változatot gyorsan feltelepítjük.



A teszthez cyanid-E próbakódját használjuk fel (lásd a kommentelők közt), ami a "mailto" mezőbe írt, speciális formátumú karakterlánc segítségével a Windows számológépét (calc.exe) fogja magától elindítani a pdf_poc.pdf megnyitása után a sebezhető környezetekben. Nézzük mi vár ránk: a dokumentumot megnyitva nyomban előtűnik a számológép, vagyis bármilyen kódot le lehetett volna futtatni ezzel a trükkel.



Miután már benyeltük, halvány vigasz lehet, hogy az elavult PDF olvasó Dugovics Tituszként legalább feldob egy frissítésre buzdító ablakot is.



A vitorlából a szelet a 8.11-es javított változat fogja ki, ha ez a frissítés megtörtént, akkor már nem futtatható tetszőleges kód, hanem valóban az alapértelmezett levelező tűnik elő, és afelől érdeklődik, jól vagyunk-e, nem szédülünk-e, és biztos-e, hogy a címzett mezőbe szánjuk a calc.exe programot hívogató zavaros programsort?



Ha ugyanezt a dorbézolást lejátsszuk a Foxit Readerrel is, úgy rezignáltan nyugtázhatjuk, hogy ezzel a programmal ettől az egész hajcihőtől már eleve megkímélt volna minket a sors.


6 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr14206943

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

buherator · http://buhera.blog.hu 2007.10.25. 14:01:34

Ööö...lehet hogy én vagyok a vak, de pdp féle PoC-tel nem találkoztam. cyanid-E néven posztolt valaki egy saját megoldást a kommenteknél (a filenév ugyanaz mint nálad).

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.10.25. 14:33:26

Ööö..., igen..., ööö...hát...izé...nem...vagyis... teljesen igazad van, köszi, javítottam :-)

Vidi Rita · http://www.hosnok.hu 2007.11.04. 21:25:24

Szia István!
Mostantól ezt a pdf olvasót preferálom, és adom tovább az infót.
Köszi a tippet!
Örülök a blogodnak, mert nem 86 helyen kell utánajárnom az infónak:))

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.05. 19:18:54

Szia Rita!
Nekem egy 1400 Mhz-es notebookom van és az Adobe Reader, amíg egyaltálan feléled, csinálok száz fekvőtámaszt.
A Foxitnál pedig 3-ig számolok, és már olvasom is a doksit, nekem ennyit jelent.
Aki nyomdába termel, vagy spéci táblázatos tartalmakkal dolgozik ütközhet vele apróbb-nagyobb kompatibilitási problémákba.
Azt azért tudni kell, minden szoftver támadható:
antivirus.blog.hu/2007/10/31/minden_es_mindenki_tamadhato

Vidi Rita · http://www.hosnok.hu 2007.11.06. 14:49:53

István!
Akkor azért az a beceneved, hogy Rambo?:))))
ne tagadd, külön vadászod a lassan induló progikat;))

hát én termelek nyomdába (is), igaz, egy ingyenes progival, és most megnéztem az instrukcióid hatására, simán olvassa azt a .pdf-et is.. és már készültem fekvőtámaszozni, de teljesen igaz: még a székből sem volt időm felemelkedni, azonnal megnyílt A Foxit-al!:)

hát igen, logikusan végiggondolva minden támadható sajnos... de ezért vagyunk, hogy segítsünk:) és ez jó:)

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2007.11.06. 15:23:30

Hehe :-)
> Akkor azért az a beceneved, hogy Rambo?:))))
> ne tagadd, külön vadászod a lassan induló progikat;))
Így igaz, mindent bevallok, sőt igazából szándékosan több példányban is el szoktam indítani az ilyen lassú progikat...
Próbálok találni egy ilyen furmányos PDF doksit, és akkor talán abból is lesz majd egy post... Mindenesetre a Foxit "kicsi, sárga, savanyú, de a miénk" :-D