安全研究人员警告利用PDF不需漏洞即可发动攻击

CNET科技资讯网4月7日国际报道 一位安全研究人员警告称，PDF文件可用来散布恶意软件，感染使用Adobe Acrobat Reader或Foxit Reader PDF软件的目标电脑内存放的无害PDF文件。

NitroSecurity产品经理Jeremy Conway，制作了一个概念验证攻击。他在一个电脑文档内注入恶意程序代码，作为渐进式更新的一部份，同样的方法可用来植入恶意程序代码到目标电脑的任一或所有PDF文档内。

这项攻击需要使用者通过一个对话窗，同意程序代码执行才能完成。不过，攻击者至少能部分控制对话窗的内容，让使用者接受该程序，再利用社交工程诱骗使用者同意执行恶意软件。

关闭JavaScript无法防范这项攻击。攻击者也无须利用PDF阅读器本身的漏洞。 Conway表示，PDF阅读器的渐进式更新功能能被用作一个感染向量。（这项攻击）不必利用任何漏洞，无需疯狂的零时差攻击程序。

Conway的概念验证攻击，是利用比利时安全研究员Didier Stevens上周在个人博客揭露的同一项PDF阅读器缺失。Stevens利用一套多部的scripting程序，执行一个PDF文档内的程序代码，即可发动指令。该篇文章发表后，Adobe和Foxit的研究员便开始研究如何减轻此类攻击的风险。

Jeremy Conway自制一部视频，示范如何用PDF文档来进行攻击

Adobe发言人不愿评论Conway的攻击，但对Steven的回应如下：

Didier Stevens的示范是根据PDF规格内的功能定义，那是一项ISO标准（ISO PDF 32000-1:2008。该规格的第12.6.4.5款，定义/launch command（发动指令）。这个例子，显示出若干使用者依赖的强大功能，当不正确使用时，同样有潜在风险。Adobe Reader和Adobe Acrobat内含的预警信息，包括以强烈措辞建议使用者只能开启和执行可信任来源发出的文档。Adobe非常认真地看待我们的产品与技术之安全，我们也不断衡量各种方式，提供终端使用者和管理者更好的管理和设定功能，以减轻潜在的相关风险。

Foxit的回应如下：

Foxit严肃看待每一个安全顾虑，而我们的工程资源着重在确定问题的起因，并提出完整及安全的解决方案。在获知一项可能的安全顾虑后，我们的开发团队立即行动，在24小时内确定解决方案，并在接下来的72小时内，发布Foxit Reader的更新版。

Conway表示，PDF阅读器软件允许可执行文档被开启，或在该软件内启动，才是问题所在。他说：多数使用者不会用到那项额外功能。他建议PDF软件厂商，提供一个不允许其他类型程序在内启动的极简版阅读器，并允许使用者决定哪些特定类型的文档能在阅读器内开启。