• Thứ Tư, 07/04/2010 17:45 (GMT+7)

    Sâu máy tính có thể lây qua PDF

    Bạch Đình Vinh
    Nhà nghiên cứu bảo mật Jeremy Conway cho biết đã phát hiện ra cách lây lan mã độc qua các tài liệu PDF trên máy tính của nạn nhân.

    Cuộc tấn công khai thác 1 lỗ hổng trong cách định dạng tập tin (file) PDF làm việc, thêm dữ liệu “độc” vào các file PDF hợp pháp mà sau đó có thể bị sử dụng để tấn công bất cứ ai mở chúng ra.

    Ông Conway, 1 nhà quản lý sản phẩm của NitroSecurity, đã phát triển kỹ thuật để “tiêm” các lệnh có ác ý vào file PDF. Tuy nhiên, cuộc tấn công của ông chỉ làm việc khi có một số chương trình độc hại khác trên hệ thống bổ sung mã. Thế nhưng, tất cả đã thay đổi khi nhà nghiên cứu Didier Stevens công bố cách sửa đổi tài liệu PDF để chạy file thực thi (EXE) trên máy tính của nạn nhân. "Khi tôi thấy kiểu tấn công của Didier, lần đầu tiên tôi có thể tấn công hoàn toàn từ bên trong các file PDF", ông Conway nói.

    Nếu người dùng bị lừa và cho phép chạy file EXE, kiểu tấn công của ông Conway sẽ hoạt động như sâu máy tính, sao chép nội dung độc hại vào các file PDF khác trên máy tính. “Malware này có thể là vector tiếp theo cho một cuộc tấn công zero-day”, ông Conway nói.

    Người dùng Reader hay Acrobat của Adobe muốn tắt tính năng cho phép tấn công làm việc có thể nhấp vào "Edit> Preferences> Categories> Trust Manager> PDF File Attachments" và sau đó bỏ chọn (un-check) hộp kiểm có tiêu đề "Allow opening of non-PDF file attachments with external applications" (cho phép mở file đính kèm non-PDF với các ứng dụng bên ngoài).

    Với phiên bản Foxit Reader 3.2.1 (được tung ra hôm 1/4/2010), giờ đây, phần mềm này sẽ hiện lên hộp thoại hỏi người dùng xem họ có thực sự muốn thực thi mã không. Adobe Reader cũng làm y như vậy.

    Từ khóa: PDF
    Nguồn: IDG News Service, 6/4/2010