Ve Windows lze spustit libovolný kód ze souboru PDF

2. 4. 2010

Sdílet

Bezpečnostní výzkumník zveřejnil postup, jak lze ve Windows spustit libovolný kód vložený do souboru PDF. Metoda funguje nejenom v Adobe Readeru/Acrobatu, ale i v druhém nejrozšířenějším prohlížeči PDF, aplikaci FoxIt.

Didier Stevens, který příslušný postup objevil, uvádí, že metoda nezneužívá žádnou konkrétní softwarovou zranitelnost. Jde o to, že Reader a FoxIt primárně neumožňují přímo vykonávat kód vložený do souboru. Stevens v principu objevil, jak kód spustit pomocí jiného příkazu. Normálně prohlížeče PDF zobrazují varování, že v souboru se nachází kód, jehož spuštění může poškodit počítač. Uživatel musí spuštění kódu potvrdit.

Stevens ale přišel na to, jak příslušné varování modifikovat. Uživateli se pak zobrazí jiná zpráva a akci s velkou pravděpodobností „odklepne“. Popsaný útok typu proof-of-concept spustí kalkulačku, namísto toho by ale šlo nasadit i nějaký malware. Stevens ovšem samotný kód, který je třeba vložit do souboru PDF, nezveřejnil.

ICTS24

Útok funguje v nejnovějším Adobe Readeru 9.3.1 včetně Windows 7. V prohlížeči FoxIt se dokonce ani žádné varování nezobrazí a kód se spustí už při otevření PDF souboru. Dodavatel, společnost FoxIt Software, údajně přislíbila, že problém urychleně opraví. Společnost Adobe naopak soudí, že varování ve stávající podobě by mělo být dostatečné. Formát PDF má podle Adobe vysokou funkcionalitu a k tomu bohužel patří i možnosti zneužití.