Diit.cz - Novinky a informace o hardware, software a internetu

„Díra nedíra“ v PDF souborech umožňuje snadné spuštění kódu

Adobe PDF logo
Bezpečnostní expert Didier Stevens objevil způsob, jak využít PDF soubory ke spuštění vnořeného kódu. Finta spočívá ve skutečnosti, že se nejedná až tak úplně o díru, jako spíše o vlastnost. Do PDF souborů lze totiž regulérně vkládat kódy a k tomu, aby je uživatel na svém PC spustil, postačí málo: trocha sociálního cítění a natrefení na správného „clickachu“. Vtip také spočívá ve skutečnosti, že populární Foxit Reader se uživatele na spuštění kódu nezeptá a rovnou to udělá…
PDF dokument s vloženým spustitelným souborem

Pokud je do PDF souboru vnořen spustitelný soubor, Adobe Reader se slušně zeptá, zda jej spustit a řekne, co je ten soubor vlastně zač. Jenže existuje ještě jeden způsob, jak vnořený kód spustit, pomocí parametrů /Launch /Action.

PDF dokument spouští soubor přes /launch /action

Obsah dialogového okna pak lze dokonce i měnit a v tom spočívá celá pointa:

PDF dokument spouští soubor přes /launch /action s doprovodným textem

V Adobe Readeru je tedy jediné, co uživateli ve spuštění kódu brání, varovné dialogové okno. Na videu níže se můžete podívat, jak by mohl vypadat takový dokument, který by se pokoušel uživatele přimět ke spuštění vnořeného kódu. Objevitel této „vychytávky““ zatím nechce podrobnosti zveřejňovat, protože je přesvědčen o tom, že záplata nemá řešení, protože tímto způsobem nezneužívá bezpečnostní díru, pouze využívá možností PDF.

Vyzkoušet si to můžete sami stažením souboru, který je součástí tohoto článku. Abychom se zase nedostali do sporu s nějakou veřejnou bezpečnostní službou, soubor je zaheslován, přičemž heslo je stejné jako jméno souboru i s příponou, pouze bez pomlček a tečky. Uvnitř naleznete maličký PDF soubor, který se bude snažit jen neškodně spustit cmd.exe (příkazový řádek) z vašeho počítače. Se souborem můžete experimentovat a zkoušet, co (kromě přirozené inteligence uživatele) by mohlo spuštění zabránit, nebo kdy je naopak příkazový řádek spuštěn zcela bez ptaní.

WIFT "WIFT" WIFT

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse ke článku „Díra nedíra“ v PDF souborech umožňuje snadné spuštění kódu

Úterý, 13 Duben 2010 - 18:48 | Jan Ebr | Člověče, ty musíš mít veselej život: obnovovat...
Úterý, 13 Duben 2010 - 00:15 | Mintaka | Vždyť píšu, že na md5sum se dívám jen pro...
Úterý, 6 Duben 2010 - 11:31 | molnart | od soboty je vonku verzia 3.2.1 ktora prave tento...
Sobota, 3 Duben 2010 - 10:55 | David Foltyn | jde to o, ze kdyz ma nejaky HIPS&spol tak nez...
Sobota, 3 Duben 2010 - 00:35 | PV | Hlídání md5sum binárek je ti na prd, co když...
Pátek, 2 Duben 2010 - 23:23 | WIFT | Dovzdělán, opraveno.
Pátek, 2 Duben 2010 - 21:02 | Erkil Poirot | Jo a, je to, asi naka verze, asi 3.
Pátek, 2 Duben 2010 - 20:57 | Mintaka | Adobe reader 6.0 FoxitReader 2.0 Ani jeden z...
Pátek, 2 Duben 2010 - 20:06 | bobrnautus | Nitropdf při otevírání zařve, že je soubor...
Pátek, 2 Duben 2010 - 20:00 | Erkil Poirot | Tak na Foxitu to funguje skvele - pusti se CMD a...

Zobrazit diskusi