PDF 阅读程式可能成为恶意程式启动的平台(上)


还记得当年我们因为假设 Word 文件并不包含任何可执行的程式码，因而认为这类榜案没有遭病毒感染的顾虑吗？当巨集病毒骤然现身之后，证实我们的推论是错误的。现在巨集病毒可能来自任何应用程式。

自从发现 Word 巨集病毒之后，许多企业组织便纷纷改用 PDF (可携式文件格式)。这种格式的文件被认为较安全，因为它不会储存巨集，且如果 PDF 是用 Adobe Acrobat Distiller 建立的，通常也是文件的最终版本。

我们一度认为，若要感染 PDF，唯一的方法就是列印出文件的萤幕撷取画面，然后使用扫描器和 OCR (光学字元辨识) 软体取得整份文件的内容，但无法保留版面设计。

数年前，一位俄国程式设计师在前往美国出席一个安全会议，解释他如何发现回避 PDF 编辑控制的方法时，遭到逮捕。 这个事件经过两年时间才告落幕，Adobe 最终还是放弃提出告诉。然而舆论一面倒地认为，Adobe 不应该要求司法部门逮捕并起诉该名俄国程式设计师，因为理论上任何人都可能做得到。Adobe 承受许多来自资安研究专家与线上社群的压力，而起诉行动或许能任何人再揭发其他瑕疵。。

这个最新的 PDF 阅读程式弱点已被识别为 CVE-2006-3453*。

趋势科技资深威胁分析师 Jamz Yaneza 表示：「基本上，这是存在于 Adobe Acrobat 6.0.5 之前版本的缓冲区溢位问题。」在文件中插入任何程式码都可能触发缓冲须溢位问题，导致 Adobe Acrobat Reader 意外终止，并可能因此让恶意程式码得以执行或电脑遭感染。这是因为原本位于该记忆体空间中的 Acrobat 文件已经消失，但恶意程式码依然存在。 这是一个非常轻微的问题，并且很快就获得修正。然而，这是另一个目标式攻击的例子，差别在于遭锁定的是应用程式，而不是作业系统。这个问题也可能对Adobe Flash Player 和 Apple Quick Time 造成影响。
　

<待续>

　


更多资讯请至趋势科技：www.trendmicro.com.tw