Av
Säkerhetsforskaren Jeremy Conway uppger att han har kommit på en metod som gör det möjligt att sprida elak kod mellan pdf-filer. Metoden utnyttjar en brist i filformatet som gör det möjligt att köra kod när en användare öppnar en pdf-fil.
Jeremy Conway har tidigare utvecklat en teknik för att lagra skadlig kod i pdf-filer, men metoden fungerade endast om ett annat program på datorn injicerade pdf-filen med den skadliga koden. Det förändrades i förra veckan när belgiska säkerhetsforskaren Didier Stevens visade upp en ny metod som gör det möjligt att starta program från en pdf-fil.
– När jag såg Didier Stevens metod insåg jag att jag kan skapa elak kod som kan köras direkt inuti en pdf-fil, säger Jeremy Conway.
Hackare har sedan tidigare känt till att pdf-läsare kan bli manipulerade till att köra program, men Didier Stevens metod gör det möjligt att starta en körbar fil från pdf-läsaren Foxit utan att användaren märker det.
Foxit har sedan upptäckten utfärdat en uppdatering som täpper till säkerhetshålet, men den underliggande bristen kan inte fixas om inte själva pdf-standarden ändras.
I Adobes pdf-läsare, Reader, så får användaren se en varning om dokumentet försöker köra programkod. Vad både Didier Stevens och Jeremy Conway lyckats göra är att ändra varningsmeddelandet så att det går att lura användaren.
I demonstrationsvideon nedan visar Jeremy Conway hur han kan lyckades skapa en pdf-fil som visar en varningsruta som frågar om användaren vill öppna ett dokument istället för att varna om att ett program kommer att köras.
Enligt Jeremy Conway gör tekniken det möjligt att enkelt skapa maskar som kan orsaka stor skada på datorer som smittats. Han har valt att inte publicera den kod han använder i exemplet.
IDG News
Jeremy Conway har tidigare utvecklat en teknik för att lagra skadlig kod i pdf-filer, men metoden fungerade endast om ett annat program på datorn injicerade pdf-filen med den skadliga koden. Det förändrades i förra veckan när belgiska säkerhetsforskaren Didier Stevens visade upp en ny metod som gör det möjligt att starta program från en pdf-fil.
– När jag såg Didier Stevens metod insåg jag att jag kan skapa elak kod som kan köras direkt inuti en pdf-fil, säger Jeremy Conway.
Hackare har sedan tidigare känt till att pdf-läsare kan bli manipulerade till att köra program, men Didier Stevens metod gör det möjligt att starta en körbar fil från pdf-läsaren Foxit utan att användaren märker det.
Foxit har sedan upptäckten utfärdat en uppdatering som täpper till säkerhetshålet, men den underliggande bristen kan inte fixas om inte själva pdf-standarden ändras.
I Adobes pdf-läsare, Reader, så får användaren se en varning om dokumentet försöker köra programkod. Vad både Didier Stevens och Jeremy Conway lyckats göra är att ändra varningsmeddelandet så att det går att lura användaren.
I demonstrationsvideon nedan visar Jeremy Conway hur han kan lyckades skapa en pdf-fil som visar en varningsruta som frågar om användaren vill öppna ett dokument istället för att varna om att ett program kommer att köras.
Enligt Jeremy Conway gör tekniken det möjligt att enkelt skapa maskar som kan orsaka stor skada på datorer som smittats. Han har valt att inte publicera den kod han använder i exemplet.
IDG News
pdf pdf pdf... - (Mr Chips) 2010-04-07 08:55
Bara Adobe Reader? - (tgneB) 2010-04-07 20:46