安全漏洞：CN-VA10-32
发布日期：2010年04月07日
漏洞类型：其他威胁
漏洞评估：严重
受影响的系统：
Adobe Reader、Foxit Reader等PDF阅读软件

漏洞描述：
近期，一些PDF阅读软件被披露存在严重的安全隐患。在4月1日公布的一段视频中，比利时的一位安全专家Didier Stevens演示了一个验证程序：如何通过广泛应用的PDF阅读软件Adobe Reader自身附有的功能，而不必利用任何安全漏洞，就可在PDF文件中嵌入可执行程序。Didier Stevens构造了一个特定的PDF文件，当中嵌入了一个可执行程序，一旦用户打开该PDF文件，就会启动所嵌入的可执行程序。虽然Adobe Reader会跳出一个警告窗口，提醒用户该程序可能是恶意软件。但Didier Stevens进一步发现这个警告窗口的文本提示信息可被修改，因此，只要进一步修改文本提示内容，变更为一些诱惑性信息或伪装成正常提示信息，用户就很难进行鉴别和防范。此外，另一个应用广泛的PDF阅读软件Foxit Reader（中文名称：福昕阅读器）也被证实存在类似安全隐患。
CNCERT研究分析发现，Adobe Reader、Foxit Reader等PDF阅读软件在其安全管理规则中，对PDF文件中嵌入的可执行程序（如二进制程序和脚本）是作了执行权限限制的。但是根据有关PDF文件格式标准的定义（《文件管理，可移植文件格式》，ISO 32000-1:2008），其中一些条款定义了PDF文件的launch 和action指令，这些指令可被利用来绕过安全限制，黑客可结合社会工程学的欺骗原理诱使用户点击执行嵌入的恶意程序。
目前，Adobe公司提供了一个临时的解决方案，主要是通过如下步骤关闭Adobe Reader或者Adobe Acrobat Reader中的PDF外部执行功能：1）选择“Edit (编辑)> Preferences(参数) > Categories(分类) > Trust Manager(可信对象)”；2）在PDF File Attachments(PDF文件附件)中xx“Allow opening of non-PDF file attachments with external applications(允许通过外部程序执行非PDF格式附件)”前的复选框，不允许执行任何不是PDF相关格式的文件类型。而Foxit 公司近期紧急发布了一个安全补丁用于修补安全隐患。
CNCERT提醒各有关单位及互联网用户注意防范，在打开PDF文件时不要轻易点击和确认有关执行第三方程序的提示。此外，要注意安装和升级安全防护软件，实时检测和查杀意图侵入计算机的恶意程序。如发现相关攻击事件，可向CNCERT举报。

参考信息：
（攻击演示地址）
（Foxit安全补丁下载地址）