• Chủ Nhật, 04/04/2010 09:18 (GMT+7)

    File PDF “độc” không cần khai thác lỗ hổng phần mềm

    Bạch Đình Vinh
    Một nhà nghiên cứu bảo mật đã tìm ra cách để chạy mã tùy ý trên các máy tính cài Windows bằng cách nhúng nó vào một tập tin PDF độc hại.

    Mã sẽ chạy khi file được xem bằng 1 trong 2 ứng dụng đọc PDF phổ biến, nhưng tác giả của kiểu tấn công này nói rằng mã không khai thác một lỗ hổng phần mềm nào cả.

    Trên blog bảo mật của mình, nhà nghiên cứu Didier Stevens cho biết, các ứng dụng đọc PDF của Adobe Systems và Foxit không cho phép chạy trực tiếp file thực thi (EXE) nhúng. Tuy nhiên, ông Stevens đã tìm ra cách để chạy file EXE nhúng thông qua một lệnh khởi động khác.

    Sau khi mở tài liệu có mã lệnh, Adobe Reader sẽ hiển thị thông điệp cảnh báo nói rằng, việc chạy mã có thể gây tổn hại cho máy tính, do đó, người sử dụng sẽ cần phải chấp thuận khởi động ứng dụng. Tuy nhiên, ông Stevens thấy có thể thay đổi một phần của thông điệp, sửa đổi nó để thuyết phục người sử dụng mở file EXE.

    Trong ví dụ của ông Stevens, Reader sẽ khởi động chương trình Calculator vô hại có sẵn của Windows nhưng cũng có thể được thay thế bằng các phần mềm độc hại (malware). Mã chứng minh khái niệm của ông Stevens làm việc khi sử dụng Adobe Reader 9.3.1 trên Windows XP SP3 và Windows 7.

    Ứng dụng đọc PDF của Foxit PDF không hiển thị cảnh báo, và với mã chứng minh khái niệm ông Stevens viết ban đầu, file EXE sẽ không chạy. Đến hôm 31/3/2010, ông Stevens đã khắc phục được vấn đề, cho phép khởi động file EXE trong Foxit chỉ bằng cách mở file PDF đã chế tác.

    Ông Stevens đã thông báo vấn đề cho cả 2 công ty phần mềm Foxit Software và Adobe.

    Từ khóa: Adobe, foxit, PDF
    Nguồn: IDG News Service, 1/4/2010