对显示攻击者如何对用户施加恶意软件的演示,在不利用实际漏洞的情况下,Foxit软件上周修补了其PDF查看器。
但是,比利时研究员展示了黑客如何在Windows PC上运行来自糟糕的PDF的可执行代码,今天福克斯特的修复没有保护用户免受他的攻击战术。
这4月1日更新对于Foxit Reader来说,Adobe自己的读者的流行替代品,在PDF尝试启动可执行文件时,会弹出一个警告,这是PDF规范允许的函数。变化使Foxit Reader与Adobe Reader类似地表现出类似的Adobe Reader,它已经体育了这样的警告。
“Foxit在所有pdf格式的弹出窗口中都添加了提示,”Foxit的克里斯蒂娜·吴(Christina Wu)在今天回复问题的电子邮件中说。“例如,如果有一个。txt或。exe文件要在PDF文件中打开,旧版本的Reader会从系统调用相关程序来启动该文件,而不需要任何查询。(更新)将检测到它,并启动一个提示,询问你是否想要执行它。”
上周的研究员Didier Stevens展示了使用/发布功能的多阶段攻击,他说他的概念守则代码 - 他没有发布到公众 - 仍然在针对更新的Foxit Reader时工作。
“关于这个修复的有趣的事情是它破坏了我的福克斯[概念验证,或poc],但是...... Adobe Poc现在为福昕工作,”史蒂文斯在他的条目中说博客今天。
此前,史蒂文斯被迫提出一个单独的解决方法,以成功地用畸形的PDF攻击融资。
Stevens的技术在Adobe Reader或Foxit Reader中不需要潜在的漏洞;所有攻击者都需要做的是欺骗用户打开恶意PDF。上周,Stevens表示,尽管Adobe Reader在推出PDF文件内部的可执行文件时显示警告,但他找到了一种方法来部分修改Adobe警告,以鼓励潜在的受害者允许发射动作。
虽然这种基于社会工程的攻击是新的,直到现在,黑客需要利用未划分的软件漏洞,以推迟通过PDF提供的成功攻击。换句话说,可以通过使用Stevens的策略来利用具有完全修补的Adobe Reader或Foxit Reader副本的Windows PC。
Didier今天没有回复,要求寻求关于Foxit更新的进一步评论的请求,或者他是否能够改变该计划的警告信息,因为他能够对Adobe做的。
今天,史蒂文斯还确认,Adobe Reader用户可以通过禁用/发射功能,这是他攻击的重要组成部分来保护他们的PC。为此,用户必须在读者偏好的信任管理器部分中清除标记为“允许打开非PDF文件附件的非PDF文件附件”框。
Foxit没有类似的环境。
上周,Adobe承认看到史蒂文斯的禁止概念证明演示,但它并没有提交其PDF软件的任何变化,只说它只是“始终倾听和评估允许结束的方式 -用户和管理员可以更好地管理和配置这样一个的功能以减轻潜在的相关风险。“
已更新的Foxit Reader可从中获取公司网站。
Gregg Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的常规技术突发新闻。关注Twitter上的Gregg@gkeizer.或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@ix.netcom.com.。
阅读更多关于安全的信息在Computerworld的安全知识中心。
这个故事,“Foxit的更新的PDF读者仍然容易受到攻击”最初发布Computerworld. 。