Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Beheer & Beveiliging » Hacker laat pdf-bestanden programma's uitvoeren

Hacker laat pdf-bestanden programma's uitvoeren

Door Wout Funnekotter, dinsdag 30 maart 2010 17:46
Submitter: MartenComSi, views: 43.408

Een Belgische onderzoeker heeft op zijn blog een exploit voor pdf-files laten zien. Met de hack kan bij het openen van een pdf-bestand automatisch een programma worden gestart. De maker zegt alleen bestaande functionaliteit te gebruiken.

Onderzoeker Didier Stevens deed de hack op zijn blog uit de doeken, al geeft hij niet alle details vrij. Het pdf-bestandsformaat laat gebruikers een bestand embedden, maar Adobe Reader heeft een beveiliging tegen het uitvoeren van zulke executables. Stevens ontwikkelde een techniek waarmee hij het wel voor elkaar kreeg om een bestand in de pdf op te nemen en uit te voeren.

Met deze methode krijgt de gebruiker een waarschuwing te zien met daarbij de gegevens van het uit te voeren bestand. Stevens is er echter in geslaagd om die bestandsinformatie te vervangen door een eigen boodschap waarin de gebruiker wordt aangespoord om op 'open' te klikken.

Volgens Stevens heeft hij geen lek gebruikt, maar gaat hij creatief om met de mogelijkheden van pdf. Gebruikers van Foxit Reader zouden extra gevaar lopen; deze pdf-reader geeft namelijk geen waarschuwing alvorens het bestand uit te voeren. Op zijn blog heeft Stevens een proof of concept geplaatst, dat bij openen de command prompt van Windows opstart. Hij heeft Adobe inmiddels van zijn hack op de hoogte gesteld.

PDF exploit hack

Volgende 09:22 THQ kondigt pc-versie van Darksiders aan
Vorige 17:14 'Chatdienst Ping! komt beschikbaar voor Android'
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 141 reacties zichtbaar1410 Off-topic / Irrelevant: 140 reacties zichtbaar140+1 On-topic: 104 reacties zichtbaar104+2 Informatief: 5 reacties zichtbaar5+3 Spotlight: 0 reacties zichtbaar0
«  1  2  3  4  5  »

Door Seraphyn, dinsdag 30 maart 2010 17:48

Score: 1
In ieder geval weer netjes dat ie Adobe het heeft gemeld. Blijf het ook altijd maar knap (en vervelend) vinden in hoeverre virusmakers etc je computer kunnen binnendringen met dit en soortgelijke technieken.

Vallen ook nog eens zat mensen voor helaas.

Door DRaakje, dinsdag 30 maart 2010 17:55

Score: 1
Volgens mij is dit allang gepatched, hier krijg ik namelijk gewoon te zien dat hij cmd.exe wil launchen en die extra boodschap die hij eraan zou hebben gehangen zie ik helemaal niet. Ik draai hier gewoon Adobe Reader 9.3.0 op Win7.

Hoax?

Door Maverick, dinsdag 30 maart 2010 18:00

Score: 1
In foxit reader komt hier idd de cmd-prompt omhoog. Ernstig genoeg lijkt me.

Door Fragmentation, dinsdag 30 maart 2010 21:03

Score: 1
Ik gebruik ook Foxit, maar bij mij komt er niets naar boven als ik dit bestand open
http://seclabs.org/fred/d...s/actions/launch/calc.pdf (dit is een voorbeeld zoals genoemd in de blog)

Wat ik wel merkte is dat er een rekenmachientje werd geopend toen ik Foxit afsloot. Wellicht is het op basis van een instelling? Hoewel er niet veel instellingen zijn, kon ik zo vlug geen instelling vinden die dit mogelijk aantast.

Door Jack Flushell, dinsdag 30 maart 2010 21:15

Score: 1
Wat ik wel merkte is dat er een rekenmachientje werd geopend toen ik Foxit afsloot.
Hahahahaha, kostelijk.
Nou dan heb jij het dus totaal niet begrepen (met alle respect hoor).

Wat denk je eigenlijkl dat die calculator is... geen programma? Wat dan wel?
Hij heeft dus calc.exe geopend - zoals ook gewoon staat beschreven in de pdf zelf. Deed hij bij mij ook op Win7 en Foxit. Jouw opmerking dat er niets gebeurd, maar een calculator (namelijk calc.exe) wordt geopend, is dus zoals bedoeld en zorgwekkend en even erg als cmd.exe. Dit is gewoon een ander voorbeeld. Het had ook taskman.exe kunnen zijn.

Nog zorgwekkender is dat jij er niets achter zoekt als er zomaar een programma wordt geopend als het notabene gaat om het openen van een programma... even verder denken. Als een T.net bezoeker dat al niet eens door heeft....

Ernstig lek dit.

[Reactie gewijzigd door Jack Flushell op dinsdag 30 maart 2010 21:21]

Door Fragmentation, dinsdag 30 maart 2010 22:13

Score: 1
Juist wel, het punt van het nieuwsbericht is om een lek te laten zien. Dit lek maakt het mogelijk om via een PDF bestand een ander programma te openen met alle gevolgen van dien.

Nu maakte ik de opmerking dat, in tegenstelling tot vele andere, bij mij calc.exe niet direct wordt geopend, maar als Foxit is afgesloten/afsluit. Het lijkt er dus op als het niet het PDF bestand of Foxit zelf calc.exe opent, maar een proces daarnaast (zal waarschijnlijk wel gerelateerd zijn aan...).

Ik zoek er wel iets achter, het is en blijft een ernstig lek, hoewel ik het nog niet mis-/gebruikt heb gezien (behalve dit voorbeeld) zal dat niet lang meer duren denk ik. Ik maar me echter geen zorgen omdat ik vrijwel niets met PDF doe, hoewel dat waarschijnlijk weinig uitmaakt.

Door J.J.J. Bokma, dinsdag 30 maart 2010 22:54

Score: 1
Maar dan nog: het maakt niet uit of die exe direct opstart of bij het afsluiten van Foxit. Een stukje malware gaat niet onnodig een venstertje openen om jouw aan het denken te zetten, natuurlijk.

Door F1k, dinsdag 30 maart 2010 23:25

Score: 1
Bij mij ook geen effect, Win XP met Foxit reader.
Wel heb ik mijn OS op D:\ staan, wellicht dat ie t hardcoded had :)

Door BabyXL, woensdag 31 maart 2010 08:23

Score: 1
Slordig. Ik zou zelf %SYSTEMDRIVE% of %SYSTEMROOT% gebruikt hebben.

Maarja, het gaat natuurlijk om een proof-of-concept.

Door Tukkertje-RaH, woensdag 31 maart 2010 09:52

Score: 2
Klopt - als je de PDF opent met vi oid:

root@qalab139-92-250-59:~/pdf# head calc.pdf
%PDF-1.1
1 0 obj
<<
/OpenAction <<
/F <<
/DOS (C:\\\\WINDOWS\\\\system32\\\\calc.exe)
/Unix (/usr/bin/xcalc)
/Mac (/Applications/Calculator.app)

Alhoewel het schunnig is dat deze applicatie zo eenvoudig geopend wordt, kan ik me niet voorstellen dat dit de eerste keer is dat dit lek wordt gebruikt. Op isc.sans.org wordt vaker gesproken over obfuscated javascript in PDF files - en die zijn vaak veel lastiger te vinden...

Door Wim-Bart, dinsdag 30 maart 2010 22:26

Score: 1
Geen Rekenmachine bij openen onder Windows 7 en geen rekenmachine bij afsluiten van Foxit onder Windows 7.

Door musiman, dinsdag 30 maart 2010 23:12

Score: 1
Bij mij wel: foxit reader op een Server 2008 r2 datacenter edition :P
Gaaf, dit soort exploits. Echt. Want daar worden de devs wakker door en leren ze eindelijk eens proper programmeren. Veel exploits zijn gewoon te wijten aan slecht programmeerwerk, waarbij zaken niet goed worden afgecheckt.

Door m4-io, woensdag 31 maart 2010 00:39

Score: 1
Jep en 't is eenvoudig op te lossen door er mee tijd aan te besteden en de software duurder te maken. Nu jij weer.

Door kidde, woensdag 31 maart 2010 01:29

Score: 1
Okular op Linux heeft er geen last van, en dat is gratis.

Door Denni, woensdag 31 maart 2010 08:10

Score: 1
Okular op Linux heeft er geen last van, en dat is gratis.
Lijkt me redelijk logisch aangezien hij exe's opent.
Ik ben inderdaad wel benieuwt of deze bug ook te vinden is in de mac en linux software of dat dit puur een Windows probleem is..

Door Tinctorius, woensdag 31 maart 2010 08:26

Score: 1
Als je calc.pdf leest zie je dat voor Mac en Linux andere dingen worden geprobeerd. Zo wordt op Linux /usr/bin/xcalc aangeroepen (werkt schijnbaar alleen in AcroRead 8.1.2+ op KDE, Gnome of xfce), en op Mac probeert 'ie Calculator.app te starten.

Ik heb er zelf overigens geen last van; ik gebruik SumatraPDF (FOSS PDF-reader voor Windows) en die heeft die functionaliteit blijkbaar gewoon niet.

Ik zie eerlijk gezegd ook niet in waarom een PDF meer moet kunnen dan pagina's met tekst en afbeeldingen coderen. Natuurlijk zijn extra features als ingekapselde bestanden handig, maar zodra je iets buiten het documentmodel kunt regelen gaat het gewoon te ver.

Door humbug, woensdag 31 maart 2010 09:00

Score: 1
In principe is het een deel van de PDF standaard. De PDF viewers onder OS/X en Linux zouden dezelfde standaard moeten volgen en dus hetzelfde moeten werken.

Ik vraag me wel af of dit een probleem is voor adobe of enkel voor de Foxit reader. Adobe toont een waarschuwing en de gebruiker moet handmatig bevestigen, Foxit laat de bestanden zonder bevestiging door.

Door the_shadow, woensdag 31 maart 2010 08:13

Score: 0
Misschien omdat een exe uitvoeren op Linux per definitie niet heel snel zal gaan?

Door u_nix_we_all, woensdag 31 maart 2010 10:28

Score: 1
Op linux heb je ook executable bestanden. Ze heten dan wel geen .exe, maar het principe is hetzelfde.

Slechte zaak dat een dergelijke "feature" bestaat in de PDF specificatie, lijkt mij ook nergens voor nodig.

Door Menesis, dinsdag 30 maart 2010 23:01

Score: 0
Hahaha, jij bent wakker =)

Door HoeZoWie, woensdag 31 maart 2010 12:09

Score: 1
Grappig als je:
http://seclabs.org/fred/d...s/actions/launch/calc.pdf
Embedded opent in IE8, doet ie dat niet!
Schijnbaar zijn dan (wanneer openen in IE8) niet alle functies 'bereikbaar' voor Adobe Acrobat Reader 9.3.1. :?
Jammer voor Foxit Reader hier wel onder te leiden heeft,
Foxit stond voor velen juist bekend als 'snel, veilig, en zonder toeters en bellen'. ;(

[Reactie gewijzigd door HoeZoWie op woensdag 31 maart 2010 12:12]

Door gunnie_nl, donderdag 1 april 2010 09:39

Score: 0
uuuh, wat dachtje van: calc.pdf
This page is empty but it should start calc :-D
Dont be afraid of the pop-ups, just click them...

dit geeft toch aan dat deze pdf een exe uit kan en gaat voeren.

wie is hier nu de frietzaak? jij of ik? ;)

Door BounceMeister, woensdag 31 maart 2010 09:02

Score: 1
Hier gebeurt er niets met het gelinkte bestand in het bericht dat Fragmentation linkt. Hij opent de pdf, maar geen calculator, ook niet bij afsluiten. Ik gebruik Windows XP SP3 en Foxit Reader 2.3 Build 2923, systeem staat op D:\.
Kan het te maken hebben met bepaalde instellingen?

[Reactie gewijzigd door BounceMeister op woensdag 31 maart 2010 09:04]

Door Tukkertje-RaH, woensdag 31 maart 2010 10:27

Score: 1
Dat heeft inderdaad te maken met instellingen...

In de PDF staat hard-coded het pad naar calc.exe op c:\windows\system32.

Omdat jouw systeem op D: staat loopt daar de call naar calc.exe vast. Met een hex editor kan je vast het pad in de PDF wijzigen - of je zou voor de grap een c:\windows dir aan kunnen maken met calc.exe erin...

Vind dit overigens een serieus probleem van Foxit

Door mike123, woensdag 31 maart 2010 23:13

Score: 0
Hier word de calculator ook niet geopend. Windows staat gewoon op de C schijf en calc.exe staat in c:\windows\system32.
Windows is XP pro, sp3

Door Bjornski, dinsdag 30 maart 2010 18:00

Score: 1
Nope. Geen hoax denk ik.
Hij heeft de PDF, waarin hij de tekst van de melding aanpast, nog niet vrijgegeven.
De versie die je kunt downloaden is zonder het aanpasen van de tekst.
(zie ook tekst van de blog)

[Reactie gewijzigd door Bjornski op dinsdag 30 maart 2010 18:01]

Door roy-t, dinsdag 30 maart 2010 21:20

Score: 0
Nouja geen hoax maar ipv "Hacker laat pfd bestanden programma's uitvoeren" is het eigenlijk: "Hacker verandert deel waarschuwingstext over dat er een bestand uitgevoerd gaat worden als dit pdf bestand geopend wordt" imho hadden veel gebruikers
waarschijnlijk hoe dan ook op doorgaan geklikt.

Beetje een non-hack dus.

Door ToolkiT, dinsdag 30 maart 2010 21:34

Score: 1
Hacker truukt mensen om programma te laten uitvoeren is de juiste beschrijving..

Het is natuurlijk wel een exploit mogelijkheid die gedicht moet worden. Want je kan er makkelijk mensen me om de tuin lijden om kwalijke code te draaien zonder dat ze dat door hebben..

Door robvanwijk, woensdag 31 maart 2010 00:49

Score: 1
Ik denk dat roy-t bedoelt dat die tekst niet heel veel uitmaakt. Als zet je er neer "WARNING: Clicking okay will install a virus!!" dan nog klikt het grootste deel van de mensheid toch op OK (deels omdat ze het niet geloven, voor een nog groter deel omdat ze het niet eens lezen). Dus ja, het is indrukwekkend dat ie een tekst aan kan passen die duidelijk niet bedoeld is om aangepast te worden, maar in de praktijk is de impact waarschijnlijk redelijk klein.

Door Fridge-RaideR, dinsdag 30 maart 2010 18:00

Score: 1
Ik heb t zelfde in beeld hier, adobe 9.2.0 op win7

Door gbh, dinsdag 30 maart 2010 18:09

Score: 0
niks hoax, win 7 blokkeerd dat zooitje

Door Fastman, dinsdag 30 maart 2010 18:50

Score: 1
Win7 + foxit PDF reader = mooi command.com venstertje zonder énige waarschuwing.
Dat is voor foxit reader ietsje minder

Persoonlijk open ik liefst de html versie van pdf's die google aanbiedt op internet. Gemakzucht en ook een beetje uit veiligheid. Zo zie je maar.

[Reactie gewijzigd door Fastman op dinsdag 30 maart 2010 18:51]

Door gtarider, dinsdag 30 maart 2010 23:12

Score: 1
Inderdaad, Win 7 met Foxit PDF Reader start ZONDER enige melding het cmd.exe programma. Zeer ernstig dus !!

Door sokolum01, dinsdag 30 maart 2010 18:31

Score: 1
Geen hoax, via mijn firefox en de foxit pdf reader wordt cmd opgestart.

Bekijk het zelf maar:
http://didierstevens.com/files/data/launch-action-cmd.zip

Door Convirion, dinsdag 30 maart 2010 20:01

Score: 1
Ik draai Adobe Reader 9.2.0 op Win7 en hij geeft aan dat hij CMD.exe wil openen.
Ook geprobeerd met Adobe Reader 8.1.3 op win Xp en ook hier zegt hij dat hij CMD.exe wil openen. Dus iets klopt er niet...

*kuch* leer lezen *kuch*

Quote van de website van de blogger: "I’m not publishing my PoC PDF yet, but you can download a PDF that will just launch cmd.exe here. Use it to test your PDF reader."

http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

[Reactie gewijzigd door Convirion op dinsdag 30 maart 2010 20:03]

Door Remco Kramer, dinsdag 30 maart 2010 22:57

Score: 1
Je moet het bestand wel downloaden en dan openen, niet in je browser laten openen, want daar werkt het niet.
Ik draai Win7 + laatste Adobe Reader (9.3.1) en Calculator start 'gewoon'.

Door badflower, dinsdag 30 maart 2010 18:38

Score: 1
tja dat krijg je er van. Ipv bij hun core-business te blijven (documenten laten zien) heeft Adobe extra functionaliteit toegevoegd. Maar wie heeft die functionaliteit nu echt nodig? Ik zelf kan echt geen situatie bedenken dat ik zou willen dat een .pdf bestand bij het openen automatisch een programma opent. Dus gemaakt voor een kleine niche groep onder het mom van we moeten vernieuwen en naar versie x.x
Maar ondertussen is de boel lek voor de massa.

Door benbi, dinsdag 30 maart 2010 18:47

Score: 0
Wat dacht je van een gebruiksaawijzing die alvast voor jou het onderdeel opstart dat je moet gebruiken?

Das maar 1 voorbeeld

Door gfgw, dinsdag 30 maart 2010 19:10

Score: 1
Het omgekeerde lijkt me logischer: programma wordt gestart, en bij de eerste keer opent de helpfile. En verder bestaat er nog zoiets als context help.

Door locke960, dinsdag 30 maart 2010 19:55

Score: 1
En dan heb je straks dus een groep gebruikers die niet beter weet dan dat ze via de gebruiksaanwijzing hun programma moeten opstarten. De groep gebruikers die sowieso nooit iets bij leert zeg maar, en dat is waarschijnlijk dezelfde groep die ook gewoon altijd zonder kijken 'ok' klikt.
En voor dat gemak heeft Adobe dus honderden miljoenen pc's op deze wereld een flink stuk kwetsbaarder gemaakt met al die actieve ongein.

badflower heeft gewoon gelijk, Acrobat reader was ooit een van de meest nuttige tools voor op je computer maar tegenwoordig is het niet alleen bloated, het is ook nog eens de meest gebruikte vector voor het verspreiden van malware. ( http://www.schneier.com/b...0/03/pdf_the_most_co.html )

Adobe heeft het eigen belang (meer omzet door verkoop van nieuwe uitgebreidere versies) boven dat van honderden miljoenen computer gebruikers op deze wereld geplaatst. Juridisch staan ze in hun recht natuurlijk, maar moreel gezien deugt het niet.

Door GerhardBurger, dinsdag 30 maart 2010 20:31

Score: 0
Wel eens ProTeXt geinstalleerd? ideal vanuit PDF. En de dingen die je met ProTeXt kunt doen, laten Microsoft Word mijlenver achter zich.

Door hvdrhee, woensdag 31 maart 2010 11:24

Score: 1
Zolang applicaties maar steeds meer mogelijkheden gaan bieden voor het type document, blijven virusmakers hiervan profiteren. Straks kun je zelfs vrije executie-code (of macro's) in bijv. JPEG-jes douwen, wat alleen bepaalde grafische editors ondersteunen en kunnen uitvoeren.
De truc om dit te beveiligen is door een applicatie zodanig te bouwen dat hij niets meer en minder doet met de gelezen bits en bytes als rauwe data uitlezen en bewerken, en verder niets geen "overige extra functies".

Door musicer, dinsdag 30 maart 2010 17:49

Score: 1
Tja maar als je zo'n omslachtig berichtje te zien krijgt klik je er toch ook niet op. Maar wel netjes dat hij dit even meld. Er zijn toch denk ik wel mensen die dit niet zo snel door hebben.. Helaas, want heel veel virussen werken op zo'n soort manier.

Door Orian, dinsdag 30 maart 2010 17:52

Score: 1
99% van de mensen leest niet eens wat er staat en klikt sowieso op ok. Van de overige 1% kun je het overgrote deel makkelijk voor de gek houden met een berichtje in de trand van "Dit bestand is nodig om verder te lezen, druk aub op ok".

Door Britney65, dinsdag 30 maart 2010 18:00

Score: 1
Foxit Reader geeft niet eens een waarschuwing en voert de code gewoon uit :'( Waarom zou een pdf ooit code moeten kunnen uitvoeren?

edit:
Stond ook al op zijn blog

[Reactie gewijzigd door Britney65 op dinsdag 30 maart 2010 18:05]

Door F.West98, dinsdag 30 maart 2010 19:05

Score: 1
bij mij wel een waarschuwing, maar geen UAC. Als ik normaal via Start > Bureau-accessoires > Opdrachtprompt cmd probeer te starten krijg ik gewoon een UAC. Heb hem op 'altijd' staan. Win7 here

Door P.E.T.E.R., dinsdag 30 maart 2010 23:31

Score: 1
Blijkbaar start foxit/adobe reader de prompt als normale user, en menu start als admin. Vaag. Kan je vanuit het menu start cmd alleen als admin starten, of ook nog als normale gebruiker?
* P.E.T.E.R. verbaasd zich weer eens om de zogenaamde veiligheid van windows, al dan niet door UAC...

Door Bjornski, dinsdag 30 maart 2010 17:53

Score: 1
edit:
Wat hij zegt ^^^

De gemiddelde tweaker niet. De gemiddelde gebruiker zoekt direct naar de "Ok" knop en denkt bij het zien van de "Open" knop; "goed genoeg voor mij". 8)7

[Reactie gewijzigd door Bjornski op dinsdag 30 maart 2010 17:54]

Door Gamebuster, dinsdag 30 maart 2010 17:56

Score: 1
Zoiets ja :P

Zeker bij windows met al die meldingen :P

Door ZpAz, dinsdag 30 maart 2010 18:45

Score: 0
Inderdaad, laatst gingen m'n neef en ik een spel tegen elkaar installeren, had flash nodig... hij speelde op mijn laptop waar ik nog geen flash op had.... ik zo eerste hit 'flash player' in google...

Hij installeren, halverwege, ja maar het wil niet? Bleek dat ie al weer halverwege zat om een betaal service te installeren... vraag me af hoe die dat zo snel voor elkaar kreeg.

Door bazkie_botsauto, dinsdag 30 maart 2010 18:52

Score: 0
lol :P

ik ben zelfs zo paranoia dat ik geen OK knoppen durf aan te klikken bij bijv zo'n firefox 'do you really want to close this window?' .. dan breng ik firefox gewoon ff om zeep :)

en ik durf eigenlijk ook geen cancel knoppen in popup kaders in FF aan te klikken. vertrouw et gewoon niet.. ook dan, de kill :)

misschien wat extreem, maar t werkt wel, nooit ergens last van :)

Door johnwoo, dinsdag 30 maart 2010 19:20

Score: 0
Jij bedoelde natuurlijk de eerste hit van de normale zoekresultaten, maar als je "flash player" googlet staat er nog een dubieuze sponsored link boven de zoekresultaten... Of nou ja, dubieus, met de taalfouten en onlogische content op die pagina weet ik wel zeker dat dat malware is :+ (aan de bron te zien komt het vanuit Spanje)
Dikke kans dat je neef dat als "eerste hit" zag en dat spul aan het installeren was...

[Reactie gewijzigd door johnwoo op dinsdag 30 maart 2010 19:23]

Door ZpAz, dinsdag 30 maart 2010 19:35

Score: 0
Dat zou opzich kunnen, het gedownloade icoontje leek ook op de 'echte flash-player' alleen de installatie was wat anders... maar goed, geeft maar aan hoe snel er altijd maar op 'ok' wordt gedrukt en er door wordt geklikt.

Door Zeror, dinsdag 30 maart 2010 17:49

Score: 0
Hij heeft goed aan gedaan deze beveiligings issue gevonden en gerapporteerd te hebben aan Adobe. Petje af!

Door BeeYeF, dinsdag 30 maart 2010 22:07

Score: 1
Misschien had hij het beter aan Foxit kunnen melden. Weet niet wat Adobe er mee te maken heeft aangezien die netjes een waarschuwing laten zien.

Door P.E.T.E.R., dinsdag 30 maart 2010 23:35

Score: 1
Je kan die waarschuwing dus aanpassen, en sowiezo hoort een documentenviewer geen code uit te voeren.

Waarom moet dit nou kunnen, je weet toch van te voren dat dit vragen om problemen is? Komop, een van de grootste softwarebedrijven ter wereld...
Oke, Foxit is blijkbaar nog slechter, maarja....

Door robvanwijk, woensdag 31 maart 2010 00:55

Score: 1
Misschien had hij het beter aan Foxit kunnen melden. Weet niet wat Adobe er mee te maken heeft aangezien die netjes een waarschuwing laten zien.
Maar wel een waarschuwing waarvan een nogal belangrijk deel aangepast kan worden. Toegegeven, niet zo erg als geen melding, maar van de andere kant, Adobe heeft waarschijnlijk flink veel meer gebruikers, wat het probleem weer vergroot.
Overigens staat er nergens dat ie het niet ook aan Foxit heeft laten weten...

[Reactie gewijzigd door robvanwijk op woensdag 31 maart 2010 00:55]

Door HotFix, dinsdag 30 maart 2010 17:50

Score: 1
Ha, dan kunnen we alsnog lang wachten op een reactie van Adobe. Slechte zaak eigenlijk, maar het is ook niet geheel de schuld van Didier Stevens mocht men het straks misbruiken.

Net zoals die al lang bekende bug in flash die de browser kan laten crashen. Ook zoiets raars.

Door net tweaker, dinsdag 30 maart 2010 17:51

Score: 1
Als hij het gelijk openbaar maakt kunnen hackers erop inspelen, maar kunnen ook de software ontwikkelaars het fixen... Het is een veilig format, dat PDF, zolang je er ook zo maar mee omgaat...

Door robvanwijk, woensdag 31 maart 2010 01:00

Score: 1
Als hij het gelijk openbaar maakt kunnen hackers erop inspelen, maar kunnen ook de software ontwikkelaars het fixen...
Jij denkt dat "Adobe inlichten" alleen betekent dat ie ze vertelt dat er een probleem is? Of zou ie hen al wel alle details geven? Denk er maar eens over na...
Het is een veilig format, dat PDF, zolang je er ook zo maar mee omgaat...
8)7 Huh...!? "Zolang je er maar veilig mee omgaat"? Met die redenatie zijn kernbommen en asbest zelfs nog veilig. Toch vervelend dat de auteurs van malware vaak juist op zoek gaan naar die onveilige manieren om formats te gebruiken. Je zou bijna denken dat ze het expres doen ofzo... |:(

Door deej1977, woensdag 31 maart 2010 09:11

Score: 1
PDF veilig? Ik denk het niet. Er bestaan PDF bestanden die zonder pardon een trojan op je PC plaatsen die een backdoor opent naar een Command & Control server (en daarbij netjes de settings van je Internet Explorer gebruikt om geen argwaan te wekken). De exploit werkt op de laatste Adobe PDF reader, en laat dat nu de meest gebruikte zijn. Ik werk voor een bedrijf dat in de IT beveiliging zit en we gebruiken die zelfgeschreven hack om mensen te wijzen op het belang van desktop security (en om te verkopen uiteraard ;)).

De bron van al dat gevaar is de scripting taal in PDF en de brakke veiligheid van de PDF readers in het omgaan. En die wordt nu al massaal misbruikt voor o.a. targeted attacks tegen banken of andere instellingen waar veel geld omgaat.

Als men PDF echt veilig wil maken moet men die scripting taal eruit slopen.

Door mcDavid, dinsdag 30 maart 2010 17:53

Score: 1
Zit deze exploit ook in Evince?

Door rutgerlak, dinsdag 30 maart 2010 18:10

Score: 2
Bij mij opent het pdf bestand calc niet (heb wel xcalc op die locatie). Nog een reden dus om over te stappen op een windows/closed source alternatief. Zie ook de comments in het pdf bestand:
Linux:
! Assumes xcalc is in /usr/bin/xcalc
- poppler: does not support PDF keyword /Launch
- Acrobat Reader 7:
1. popup telling it can not open "xcalc" (dumb reasons)
2. popup proposing to open "xcalc" (warning)
3. starts "xcalc"
- Acrobat Reader 8.1.2: based on xdg-open
- if you are running KDE, Gnome or xfce, xcalc is started after a popup
- otherwise, your brower is started and tries to download "xcalc"

Door StGermain, dinsdag 30 maart 2010 21:40

Score: 1
Hier met Ubuntu 9.10 opent hij de pdf met document viewer en gebeurt er verder helemaal niks...

Door kozue, dinsdag 30 maart 2010 22:02

Score: 1
Evince is een GUI voor poppler.

Door ttiger, dinsdag 30 maart 2010 19:24

Score: 1
Net getest.

Ubuntu 64 bit, 9.10, Firefox. Eerst wordt gevraagd wat te doen, opslaan of openen.
Het is een zip, na opslaan te openen met archive manager. File in zip kan geopend worden in Evince, geeft de pdf weer, start geen teminal oid.

Door Lord Daemon, woensdag 31 maart 2010 01:21

Score: 1
Evince, Okular en xpdf lijken allemaal niets te doen. Vermoedelijk ondersteunen ze "launch" niet? Dat lijkt me trouwens een goede zaak, want waarom zou je ooit willen de een PDF-file een programma opstart?

Door BeosBeing, donderdag 8 april 2010 09:25

Score: 0
Tja, Evince wil bij mij (Windows 2000) niet printen.
Aangezien Forxit Reader ook niet meer is wat het geweest is (versie 2.x heb ik niet meer, dacht die te kunnen verwijderen na download van 3.0).
Dan toch maar weer naar Adobe versie 9.3.1 gegaan

Door mcDavid, dinsdag 30 maart 2010 17:57

Score: 1
Adobe kennende kun je die brief dan net zo goed aan de kerstman sturen.

Door Icekiller2k6, dinsdag 30 maart 2010 17:59

Score: 0
Och kom op!
Ik word dit soort reacties echt beu op tweakers ga dan naar de telegraaf ofzo.
Hackers zijn niet slecht. Crackers zijn slecht.

Leer het verschil. Hoe vaak denk je dat hackers stuk of 10x het bedrijf contacteren en deze het gewoon negeert?

Door stresstak, woensdag 31 maart 2010 20:02

Score: 0
Och kom op!
Crackers zijn slecht.
Voor mijn lijn wel. Maar ze zijn zo lekker, vooral met die vloeibare camembert. Heerlijk.

Voor de gewone man zijn hackers computer-criminelen. En er zijn meer gewone mannen dan tweakers. Tel uit de winst.

Door GravGunner, dinsdag 30 maart 2010 18:04

Score: 1
Heb je het artikel wel gelezen?
Hij heeft niet alle details prijs gegeven dus ik denk niet dat je zomaar dit trucje voor elkaar krijgt.

Verder werkt dit m.i. beter dan een brief naar de grote jongens sturen(die ze vaak voor langere tijd negeren)

Door Oeroeg, dinsdag 30 maart 2010 18:44

Score: 1
Hij zegt dat hij gewoon creatief met pdf code geweest, is het zou dus makkelijk na te maken zijn,.

Door Mr4000, dinsdag 30 maart 2010 19:12

Score: 2
Zoiets? Levert ongeveer zelfde beeld op..
8 0 obj
<<
/Type /Action
/S /Launch
/Win
<<
/F (cmd.exe)
/P (\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\nDit document is beveiligd:\n1. Selecteer 'Dit bericht niet meer weergeven'\n2. Klik Open om het document te kunnen lezen!)
>>
>>
endobj
http://j.imagehost.org/0376/pdf.png

[Reactie gewijzigd door Mr4000 op dinsdag 30 maart 2010 19:17]

Door ppl, dinsdag 30 maart 2010 20:05

Score: 1
Geheimhouden heeft bij deze feature weinig zin omdat deze hack voortborduurt op iets wat in de specificaties van het pdf formaat van Adobe zit (hiermee bedoel ik dus niet de spec die bij het ISO ligt). Je kunt namelijk gewoon via de launch mogelijkheid dingen laten openen. Deze hack breidt dat wat uit zodat het nu mogelijk is om zomaar iets als cmd.exe te lanceren. Bij een aantal producten werkt het niet omdat zij dat launch verhaal niet ondersteunen (bijv. Preview in OS X) en bij een aantal wel waaronder Adobe's eigen producten maar ook het vrij populaire Foxit Reader. Bij de laatste wordt er zelfs geen waarschuwing gegeven.

Van wat ik zo lees gaat het min of meer om het aanpassen van een of andere dialog box waardoor je gebruikers kunt neppen en ze alsnog klakkeloos op knoppen drukken waardoor cmd.exe (of iets anders) geopend kan worden. Het is dus iets wat uit gaat van social engineering (wordt ook netjes uitgelegd door de onderzoeker in kwestie).

Het is een opeenstapeling van voor de hand liggende zaken die niet echt superspannend zijn. Uit het verhaal blijkt dat het eigenlijk relatief zeer eenvoudig is om te doen dus ook in dat geval heeft het geheimhouden geen zin omdat een ander weinig moeite hoeft te doen om het te achterhalen. Dit slingert zo wel de discussie aan over het gebruik van pdf en met name de producten van Adobe. Het is weer de zoveelste security bug in Adobe's pdf formaat en bijbehorende producten. Sja, dat embedden van allerlei multimedia spul als javascript en het kunnen launchen van dingen is nou eenmaal een risico en dat wordt steeds meer duidelijk aangezien vrijwel alle gevonden security bugs in lijken te haken op die gebieden.

Door _Thanatos_, dinsdag 30 maart 2010 22:51

Score: 1
Het is een opeenstapeling van voor de hand liggende zaken die niet echt superspannend zijn.
Dat is wel vaker zo met het "uitvinden" van iets. De delen bestaan al, maar die tot één geheel breien is vaak meer dan de som der delen ;)

Door AlexanderB, dinsdag 30 maart 2010 17:54

Score: 1
balen, ik ben juist een fan van Foxit reader omdat het n stuk vlotter werkt en niet je hele systeem traag maakt, zit dr zo'n stomme beveiligingslek in..

Door Icekiller2k6, dinsdag 30 maart 2010 18:00

Score: 0
Zucht is geen beveiligslek 't is een design flaw, die voortgevloeid is uit het gebruikersgemak voor de gebruiker.

Foxit reader: Mensen vinden het irritant om ok te klikken.. nja dan klikken we maar automatisch ok hé.

Door sundace, dinsdag 30 maart 2010 18:48

Score: 0
owh.. zeg dat tegen microsoft met het automatisch installeren en/of uitvoeren onder administrator rechten.

Door Icekiller2k6, dinsdag 30 maart 2010 18:50

Score: 0
kuch UAC kuch.. dat mensen het uitzetten is niet microsoft zijn schuld.

Door scsirob, woensdag 31 maart 2010 09:53

Score: 1
Nee, UAC is een pracht tool.

Ome Jan download een spelletje
UAC roept: "Znort.exe probeert braf.dll uit te voeren, wilt u dit toestaan?"
Ome Jan drukt op 'Nee' . Spelletje werkt niet.
Ome Jan probeert het nog een keer en drukt nu op "Ja". Spelletje werkt.

Mag jij raden waar ome Jan de volgende keer op drukt bij een UAC prompt.

Door almar, dinsdag 30 maart 2010 18:00

Score: 1
Leuk gedaan maar het is als ik het goed begrijp meer creatief omgaan met mogelijkheden ipv een exploit.

Door Pinobigbird, dinsdag 30 maart 2010 19:50

Score: 0
It's not a bug; it's a feature. Nou ja, een hidden feature dan om met "/Launch /Action" een applicatie te starten.

Door dycell, dinsdag 30 maart 2010 20:33

Score: 1
Precies. De CMD prompt heeft ook geen extra rechten anders dan de gebruikersrechten.
Als UAC aanstaat krijgt men nog steeds een melding als er iets "admin" gestart wordt zoals een virus. De normale werkomgeving waarbij men geen admin rechten heeft zijn dus prima bestand tegen deze "exploit"

Door robvanwijk, woensdag 31 maart 2010 01:19

Score: 1
Dat die prompt geen extra rechten heeft maakt niet uit:
- Je zou sowieso niet, zonder toestemming van de user, processen op moeten kunnen starten.
- Zodra je eenmaal draait kun je die admin-rechten er ook wel ergens bij klussen. Zodra je eenmaal een klein beetje toegang tot een systeem hebt (en lokaal draaien als een geauthenticeerde gebruiker zonder speciale beperkingen is veel meer dan "een beetje toegang") dan krijg je die adminrechten ook wel...
   Het is voor Windows (of een ander OS / programma) niet zo moeilijk om iemand die helemaal niks mag buiten te houden: hmm, jou ken ik niet -> volkomen negeren. Het is veel lastiger om iemand een beetje toegang te geven, maar niet meer dan dat. Bij een complex systeem is het erg lastig om te voorkomen dat er trucjes zijn om elke keer net iets meer te kunnen dan eigenlijk zou moeten ("exploits").

Door DexterDee, dinsdag 30 maart 2010 18:09

Score: 1
Op de Mac gebeurt er hier in ieder geval niks. Geen popups en geen foutmeldingen. cmd.exe bestaat uiteraard niet. Ook die cross-platform PoC die gepost staat in de comments doet niks, alhoewel deze volgens de tekst de Mac calculator zou moeten oproepen... (OSX 10.6.3)

[Reactie gewijzigd door DexterDee op dinsdag 30 maart 2010 18:12]

Door ppl, dinsdag 30 maart 2010 20:14

Score: 1
In de comments op dat blogartikel staat iemand die een pdf gemaakt heeft zodat je het zelf kunt testen. In die pdf staat keurig netjes aangegeven welke pdf readers er last van hebben en welke niet. Op de eerste pagina staat het volgende:
Mac:
- Preview does not support PDF keyword /Launch
- Acrobat Reader 8.1.2: starts Calculator.app
Er gebeurd dus alleen iets wanneer je gebruik maakt van Adobe Reader. Aangezien OS X standaard al een pdf reader heeft in de vorm van Preview (of Voorvertoning op z'n Nederlands) die dat "launch" niet ondersteund zit het merendeel van de OS X gebruikers veilig. Gezien de enorme hoeveelheid security bugs die gevonden worden in Adobe's eigen pdf formaat (dus niet de pdf formaten die het ISO beheert) en de bijbehorende apps is het beter om gewoon Preview te gebruiken en Adobe Reader van je Mac te verwijderen.

Voor Linux gebruikers staat er ook nog een interessant stukje:
Linux: ! Assumes xcalc is in /usr/bin/xcalc
- poppler: does not support PDF keyword /Launch
- Acrobat Reader 7:
1. popup telling it can not open "xcalc" (dumb reasons)
2. popup proposing to open "xcalc" (warning) 3. starts "xcalc"
- Acrobat Reader 8.1.2: based on xdg-open
* if you are running KDE, Gnome or xfce, xcalc is started after a popup
* otherwise, your brower is started and tries to download "xcalc"

Door arjankoole, dinsdag 30 maart 2010 20:51

Score: 1
Inderdaad, maar gebruik je preview of gebruik je acrobat reader? Volgens mij implementeerd Apple alleen Open-Spec PDF, niet de propietary dingen van Adobe.
«  1  2  3  4  5  »

Op dit item kan niet meer gereageerd worden.

Volgende 09:22 THQ kondigt pc-versie van Darksiders aan
Vorige 17:14 'Chatdienst Ping! komt beschikbaar voor Android'
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011