PDF 閱讀程式可能成為惡意程式啟動的平台(上)


還記得當年我們因為假設 Word 文件並不包含任何可執行的程式碼，因而認為這類榜案沒有遭病毒感染的顧慮嗎？當巨集病毒驟然現身之後，證實我們的推論是錯誤的。現在巨集病毒可能來自任何應用程式。

自從發現 Word 巨集病毒之後，許多企業組織便紛紛改用 PDF (可攜式文件格式)。這種格式的文件被認為較安全，因為它不會儲存巨集，且如果 PDF 是用 Adobe Acrobat Distiller 建立的，通常也是文件的最終版本。

我們一度認為，若要感染 PDF，唯一的方法就是列印出文件的螢幕擷取畫面，然後使用掃描器和 OCR (光學字元辨識) 軟體取得整份文件的內容，但無法保留版面設計。

數年前，一位俄國程式設計師在前往美國出席一個安全會議，解釋他如何發現迴避 PDF 編輯控制的方法時，遭到逮捕。 這個事件經過兩年時間才告落幕，Adobe 最終還是放棄提出告訴。然而輿論一面倒地認為，Adobe 不應該要求司法部門逮捕並起訴該名俄國程式設計師，因為理論上任何人都可能做得到。Adobe 承受許多來自資安研究專家與線上社群的壓力，而起訴行動或許能任何人再揭發其他瑕疵。。

這個最新的 PDF 閱讀程式弱點已被識別為 CVE-2006-3453*。

趨勢科技資深威脅分析師 Jamz Yaneza 表示：「基本上，這是存在於 Adobe Acrobat 6.0.5 之前版本的緩衝區溢位問題。」在文件中插入任何程式碼都可能觸發緩衝須溢位問題，導致 Adobe Acrobat Reader 意外終止，並可能因此讓惡意程式碼得以執行或電腦遭感染。這是因為原本位於該記憶體空間中的 Acrobat 文件已經消失，但惡意程式碼依然存在。 這是一個非常輕微的問題，並且很快就獲得修正。然而，這是另一個目標式攻擊的例子，差別在於遭鎖定的是應用程式，而不是作業系統。這個問題也可能對Adobe Flash Player 和 Apple Quick Time 造成影響。
　

<待續>

　


更多資訊請至趨勢科技：www.trendmicro.com.tw