PDF: csak megnyitom, és már indulok is...

2009. június 16. 22:03 - Csizmazia Darab István [Rambo]

A mai exploitokkal terhes, vérzivataros időkben érdemes lehet a szimpla rákattintás helyett megvizsgálni a kapott, e-mailben érkezett, weboldalon található PDF állományokat, mert az ördög nem alszik.

Minden állomány fejléc- és fájlszerkezetében lehetnek olyan értékek, amik lehetőséget adnak barkácsolásra, trükközésre, exploit kód vagy kártékony JavaScript program beillesztésére. Nem kivételek ezalól a manapság annyira népszerű PDF, azaz Portable Document Format alapú fájlok sem. Pontosan emiatt került be a VirusTotal eszközei közé a PDFiD nevű alkalmazás, amellyel kontrollálhatjuk, van-e gyanús adatsor a megnyitni kívánt állományban. A PDFiD a PE EXE fejléc elemző segédprogramokkal szemben nem egy valódi elemző (parser), hanem ismert, veszélyes stringrészleteket keres, és aztán ennek alapján értékeli ki az állományt. 

Nemrég olvashattunk arról, hogy egy vírusirtó programnál a PDF feldolgozó modult javítani kellett, mert csak "bambán" kereste a "%PDF" karaktersorozatot, amelynek megtalálása után kezdi a kiértékelést. Ha esetleg egy manipulált PDF-ben nem volt ilyen, akkor például a Kaspersky program nem ismerte fel PDF-ként a vizsgálandó állományt.

 

Egyébként nem segít mindig pusztán az alternatív PDF olvasók használata sem, bár az Adobenál jobban járunk vele a sebezhetőség és a sebesség tekintetében is, de sérülékenységek természetesen vannak a Foxit Readerhez is. Sőt, az Adobe és a Foxit az offset értékeket figyelmen kívül hagyva vígan megnyit piszkált fejlécű PDF állományokat is, és sajnos a bennük lévő JavaScript kódokat is lefuttatja.

Érdemes lehet megkérdezni orvosunkat-gyógyszerészünket, illetve kicsit Microsoftosan fogalmazva kizárólag megbízható (hehe) helyről származó PDF-eket nyissunk csak meg - legalábbis nekifutásból -, míg a kérdőjelesek járjanak el előtte egy násztáncot a VirusTotalon, és csak az eredmény ismeretében bökjünk a megnyitásra.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr281188420

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.