安全漏洞:CN-VA10-32 发布日期:2010年04月07日 漏洞类型:其他威胁 漏洞评估:严重 受影响的系统: Adobe Reader、Foxit Reader等PDF阅读软件 漏洞描述: 近期,一些PDF阅读软件被披露存在严重的安全隐患。在4月1日公布的一段视频中,比利时的一位安全专家Didier Stevens演示了一个验证程序:如何通过广泛应用的PDF阅读软件Adobe Reader自身附有的功能,而不必利用任何安全漏洞,就可在PDF文件中嵌入可执行程序。Didier Stevens构造了一个特定的PDF文件,当中嵌入了一个可执行程序,一旦用户打开该PDF文件,就会启动所嵌入的可执行程序。虽然Adobe Reader会跳出一个警告窗口,提醒用户该程序可能是恶意软件。但Didier Stevens进一步发现这个警告窗口的文本提示信息可被修改,因此,只要进一步修改文本提示内容,变更为一些诱惑性信息或伪装成正常提示信息,用户就很难进行鉴别和防范。此外,另一个应用广泛的PDF阅读软件Foxit Reader(中文名称:福昕阅读器)也被证实存在类似安全隐患。 CNCERT研究分析发现,Adobe Reader、Foxit Reader等PDF阅读软件在其安全管理规则中,对PDF文件中嵌入的可执行程序(如二进制程序和脚本)是作了执行权限限制的。但是根据有关PDF文件格式标准的定义(《文件管理,可移植文件格式》,ISO 32000-1:2008),其中一些条款定义了PDF文件的launch 和action指令,这些指令可被利用来绕过安全限制,黑客可结合社会工程学的欺骗原理诱使用户点击执行嵌入的恶意程序。 目前,Adobe公司提供了一个临时的解决方案,主要是通过如下步骤关闭Adobe Reader或者Adobe Acrobat Reader中的PDF外部执行功能:1)选择“Edit (编辑)> Preferences(参数) > Categories(分类) > Trust Manager(可信对象)”;2)在PDF File Attachments(PDF文件附件)中xx“Allow opening of non-PDF file attachments with external applications(允许通过外部程序执行非PDF格式附件)”前的复选框,不允许执行任何不是PDF相关格式的文件类型。而Foxit 公司近期紧急发布了一个安全补丁用于修补安全隐患。 CNCERT提醒各有关单位及互联网用户注意防范,在打开PDF文件时不要轻易点击和确认有关执行第三方程序的提示。此外,要注意安装和升级安全防护软件,实时检测和查杀意图侵入计算机的恶意程序。如发现相关攻击事件,可向CNCERT举报。 参考信息: (攻击演示地址) (Foxit安全补丁下载地址) 信息提供者: CNCERT 北京知道创宇信息技术有限公司 其它信息: 相关CVE编号: 漏洞报告文档编写: 国家信息安全漏洞共享平台(CNVD) ----------------------------------------------------------------------------------- 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。 在发布漏洞公告信息之前,CNVD都力争保证每条公告的准确性和可靠性。然而,采纳和实施公告中的建议则xx由用户自己决定,其可能引起的问题和结果也xx由用户承担。是否采纳我们的建议取决于您个人或您企业的决策,您应考虑其内容是否符合您个人或您企业的安全策略和流程。 我们鼓励所有计算机与网络安全研究机构,包括厂商和科研院所,向我们报告贵单位所发现的漏洞信息。我们将对所有漏洞信息进行验证并在CNCERT/CC网站和国家信息安全漏洞共享平台(CNVD)公布漏洞信息及指导受影响用户采取措施以避免损失。 如果您发现本公告存在任何问题,请与我们联系 |