Login: ( registrieren / neues Passwort )
  Cookies müssen aktiviert sein!

Navigation
Main-Content
» News-Center
» Hacking-Zone
» Forum
» IT-Quiz
» IRC-Webchat

Features / Downloads
» Krypto-Lab
» Digital-Library
» Anonymous?
» HS-Decoder
» Linkliste
» Download-Center
» HackTV-Center

Community-Infos
» Hall of Fame
» Hall of Lame
» Mitglieder
» Skill-Suche

About HS
» Happy-Shop
» Infos & Hilfe
» Partner-Seiten
» HS unterstützen!
» Gästebuch (add)
» Statistiken

1. Begriff markieren
2. Button anklicken
Statistik
Online : (10 User)
IRC Nimda
sowie 9 Gäste

IRC-Chat : (19 User)

Voting
Nutzt ihr euer handy zum mobilen surfen?
selten
oft
gar nicht
 
   Umfrage-Seite

Partner-Seiten

Partner werden

INDEX » @Website & Forum » [News] PDF Exploit ohne konkrete Sicherheitslücke    Seite: 1
Mit dem Betreten dieses Forum, werden alle Boardregeln ausnahmslos anerkannt. Es dürfen weder komplette Lösungswege noch Teile von Passwörtern zur Hacking-Zone hier getauscht werden. Auch sind alle illegalen Themen streng verboten. Bitte zu erst versuchen selbst eine Lösung zu finden und die Suchfunktion zu benutzen. Beiträge der letzten 24 Stunden
Alle ungelesenen Beiträge anzeigen
Alle Beiträge als gelesen markieren
Alle Beiträge als ungelesen markieren
 

 Author  Thema: [News] PDF Exploit ohne konkrete Sicherheitslücke 
31.03.2010 14:49
Vellas
*Moderator*

Postings: 1062
Hackits: 157 von 183

Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, dass keine konkrete Schwachstelle ausnutzt, sondern eine Option aus der PDF-Spezifikation. Genutzt wird dafür die Option "Launch Actions/Launch File", die auch im PDF eingebettete Skripte und EXE-Dateien ausführen kann.

Der Adobe Reader fragt vor der Ausführung noch nach, wohingegen der Foxit Reader die Datei ohne Nachfrage ausführt. Stevens stellt zwar kein Exploit zur Ausführung eingebetteten Codes bereit, bis er eine Reaktion der Hersteller hat, jedoch ein PoC-PDF erstellt das zumindest die Eingabeaufforderung startet.

Das Abschalten von JavaScript nützt in diesem Fall nichts, weil es nicht verwendet wird. Jedoch kann man zumindest im Adobe Reader, durch Deaktivierung der Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden." über Einstellungen/Berechtigungen, die Ausführung von Anwendungen unterbunden werden. Damit funktioniert der Exploit im Adobe Reader nicht mehr. Foxit hat hier noch nachbesserungsbedarf.

Ich habe mit Hilfe des OpenOffice.org Plugins für den Import von PDF-Dateien den Code unschädlich machen können, indem ich das importierte PDF einfach wieder in ein neues Dokument exportiert habe. Der Code zum Ausführen einer Datei ist damit nicht mehr vorhanden. Könnte für Leute die OpenOffice.org installiert haben eventuell eine Option sein, wenn man nich extra den Adobe Reader installieren möchte.

Quellen
heise: PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
Didier Stevens Blog: Escape From PDF
Didier Stevens Blog: “Escape From Foxit Reader”
PoC-PDF: launch-action-cmd.zip

  Quote | Edit | Delete | Alert!!!  #001
02.04.2010 09:52
Frozen_byte

Postings: 336
Hackits: 38 von 183

der Foxitreader hat inzwischen sein Programm auch gepatched.
In der Version 3.2.1.0401 fragt er beim öffnen der Datei nach "Do you really want to open: 'C:\Windows\system32\cmd.exe' "
Natürlich gibt es eine "so not show this message again" option.


  skype Quote | Edit | Delete | Alert!!!  #002
 INDEX » @Website & Forum » Seite: 1

    ! GESPERRT !  


  

Need help? visit the IRC-Chat or Message-Board
© 2004 - 2020 happy-soft
"Der Computer ist die logische Weiterentwicklung des Menschen: Intelligenz ohne Moral."