Hacker laat pdf-bestanden programma's uitvoeren

Een Belgische onderzoeker heeft op zijn blog een exploit voor pdf-files laten zien. Met de hack kan bij het openen van een pdf-bestand automatisch een programma worden gestart. De maker zegt alleen bestaande functionaliteit te gebruiken.

Onderzoeker Didier Stevens deed de hack op zijn blog uit de doeken, al geeft hij niet alle details vrij. Het pdf-bestandsformaat laat gebruikers een bestand embedden, maar Adobe Reader heeft een beveiliging tegen het uitvoeren van zulke executables. Stevens ontwikkelde een techniek waarmee hij het wel voor elkaar kreeg om een bestand in de pdf op te nemen en uit te voeren.

Met deze methode krijgt de gebruiker een waarschuwing te zien met daarbij de gegevens van het uit te voeren bestand. Stevens is er echter in geslaagd om die bestandsinformatie te vervangen door een eigen boodschap waarin de gebruiker wordt aangespoord om op 'open' te klikken.

Volgens Stevens heeft hij geen lek gebruikt, maar gaat hij creatief om met de mogelijkheden van pdf. Gebruikers van Foxit Reader zouden extra gevaar lopen; deze pdf-reader geeft namelijk geen waarschuwing alvorens het bestand uit te voeren. Op zijn blog heeft Stevens een proof of concept geplaatst, dat bij openen de command prompt van Windows opstart. Hij heeft Adobe inmiddels van zijn hack op de hoogte gesteld.

PDF exploit hack

Reacties (141)

mcDavid 30 maart 2010 17:53

Zit deze exploit ook in Evince?

Verwijderd @mcDavid • 30 maart 2010 18:10

Bij mij opent het pdf bestand calc niet (heb wel xcalc op die locatie). Nog een reden dus om over te stappen op een windows/closed source alternatief. Zie ook de comments in het pdf bestand:

Linux:
! Assumes xcalc is in /usr/bin/xcalc
- poppler: does not support PDF keyword /Launch
- Acrobat Reader 7:
1. popup telling it can not open "xcalc" (dumb reasons)
2. popup proposing to open "xcalc" (warning)
3. starts "xcalc"
- Acrobat Reader 8.1.2: based on xdg-open
- if you are running KDE, Gnome or xfce, xcalc is started after a popup
- otherwise, your brower is started and tries to download "xcalc"

StGermain @Verwijderd • 30 maart 2010 21:40

Hier met Ubuntu 9.10 opent hij de pdf met document viewer en gebeurt er verder helemaal niks...

kozue @Verwijderd • 30 maart 2010 22:02

Evince is een GUI voor poppler.

ttiger @mcDavid • 30 maart 2010 19:24

Net getest.

Ubuntu 64 bit, 9.10, Firefox. Eerst wordt gevraagd wat te doen, opslaan of openen.
Het is een zip, na opslaan te openen met archive manager. File in zip kan geopend worden in Evince, geeft de pdf weer, start geen teminal oid.

Lord Daemon @ttiger • 31 maart 2010 01:21

Evince, Okular en xpdf lijken allemaal niets te doen. Vermoedelijk ondersteunen ze "launch" niet? Dat lijkt me trouwens een goede zaak, want waarom zou je ooit willen de een PDF-file een programma opstart?

BeosBeing @Lord Daemon • 8 april 2010 09:25

Tja, Evince wil bij mij (Windows 2000) niet printen.
Aangezien Forxit Reader ook niet meer is wat het geweest is (versie 2.x heb ik niet meer, dacht die te kunnen verwijderen na download van 3.0).
Dan toch maar weer naar Adobe versie 9.3.1 gegaan

donny007 30 maart 2010 21:33

Hij gebruikt gewoon een feature van PDF, open het document maar met Notepad++:

%PDF-1.1

1 0 obj
<<
/Type /Catalog
/Outlines 2 0 R
/Pages 3 0 R
/OpenAction 8 0 R
>>
endobj

2 0 obj
<<
/Type /Outlines
/Count 0
>>
endobj

3 0 obj
<<
/Type /Pages
/Kids [4 0 R]
/Count 1
>>
endobj

4 0 obj
<<
/Type /Page
/Parent 3 0 R
/MediaBox [0 0 612 792]
/Contents 5 0 R
/Resources
<< /ProcSet 6 0 R
/Font << /F1 7 0 R >>
>>
>>
endobj

5 0 obj
<< /Length 46 >>
stream
BT
/F1 24 Tf
100 700 Td
(Hello World)Tj
ET
endstream
endobj

6 0 obj
[/PDF /Text]
endobj

7 0 obj
<<
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont /Helvetica
/Encoding /MacRomanEncoding
>>
endobj

8 0 obj
<<
/Type /Action
/S /Launch
/Win
<<
/F (cmd.exe) Plaats hier wat je wilt, http://www.tweakers.net zal tweakers.net openen.
>>
>>
endobj

xref
0 9
0000000000 65535 f
0000000012 00000 n
0000000109 00000 n
0000000165 00000 n
0000000234 00000 n
0000000401 00000 n
0000000505 00000 n
0000000662 00000 n
trailer
<<
/Size 9
/Root 1 0 R
>>
startxref
751
%%EOF

Geen exploit dus, gewoon een functie, alleen jammer dat niet alle readers er netjes een melding van maken.

[Reactie gewijzigd door donny007 op 23 juli 2024 08:13]

Demoterror @donny007 • 30 maart 2010 23:10

Klopt, het is een functie.
En default krijg je ook gewoon een melding van de .exe die je pdf prog probeert te starten. (Schijnbaar niet bij alle readers maar ok)

Echter kun je, mits je deze melding aan past, gebruikers misleiden en door de hand van deze functie dus wel kwaadaardige software runnen.

Als een pdf reader je als melding geeft dat je iets moet toestaan om die pdf te bekijken (waar dus in die aangepaste melding geen .exe of iets dergelijks noemt) zullen veel mensen dit gewoon accepteren.
En ben je dus in staat om via de aangepaste pdf software te laten starten op die pc.

De schade die je hiermee kan aanrichten is nog maar te bezien idd.
De software zal dus aanwezig moeten zijn op het systeem waarop de pdf geopend gestart gaat worden. Al kun je (schijnbaar) ook een http adres invoeren wat ie start?

Feit blijft dat hij er in geslaagd is om een "veilig" bestandsformaat aan te passen tot een punt waar er eventueel kwaad mee kan worden gedaan.
In welke mate zal afhangen van de mogelijkheden die hierdoor gecreëerd worden.

[Reactie gewijzigd door Demoterror op 23 juli 2024 08:13]

[Remmes] 30 maart 2010 22:46

*klikt op de link* ... geen calc te zien...ook geen waarschuwing

Verwijderd @[Remmes] • 31 maart 2010 11:52

Je moet het ook downloaden, de link klikken werkt niet.

HoeZoWie @[Remmes] • 31 maart 2010 12:15

Ja, dat zei ik ook al, embedded openen in IE8 en hij heeft die functie niet... apart.

Seraphyn 30 maart 2010 17:48

In ieder geval weer netjes dat ie Adobe het heeft gemeld. Blijf het ook altijd maar knap (en vervelend) vinden in hoeverre virusmakers etc je computer kunnen binnendringen met dit en soortgelijke technieken.

Vallen ook nog eens zat mensen voor helaas.

DRaakje @Seraphyn • 30 maart 2010 17:55

Volgens mij is dit allang gepatched, hier krijg ik namelijk gewoon te zien dat hij cmd.exe wil launchen en die extra boodschap die hij eraan zou hebben gehangen zie ik helemaal niet. Ik draai hier gewoon Adobe Reader 9.3.0 op Win7.

Hoax?

Maverick @DRaakje • 30 maart 2010 18:00

In foxit reader komt hier idd de cmd-prompt omhoog. Ernstig genoeg lijkt me.

Verwijderd @Maverick • 30 maart 2010 21:03

Ik gebruik ook Foxit, maar bij mij komt er niets naar boven als ik dit bestand open
http://seclabs.org/fred/d...s/actions/launch/calc.pdf (dit is een voorbeeld zoals genoemd in de blog)

Wat ik wel merkte is dat er een rekenmachientje werd geopend toen ik Foxit afsloot. Wellicht is het op basis van een instelling? Hoewel er niet veel instellingen zijn, kon ik zo vlug geen instelling vinden die dit mogelijk aantast.

Jack Flushell

@Verwijderd • 30 maart 2010 21:15

Wat ik wel merkte is dat er een rekenmachientje werd geopend toen ik Foxit afsloot.

Hahahahaha, kostelijk.
Nou dan heb jij het dus totaal niet begrepen (met alle respect hoor).

Wat denk je eigenlijkl dat die calculator is... geen programma? Wat dan wel?
Hij heeft dus calc.exe geopend - zoals ook gewoon staat beschreven in de pdf zelf. Deed hij bij mij ook op Win7 en Foxit. Jouw opmerking dat er niets gebeurd, maar een calculator (namelijk calc.exe) wordt geopend, is dus zoals bedoeld en zorgwekkend en even erg als cmd.exe. Dit is gewoon een ander voorbeeld. Het had ook taskman.exe kunnen zijn.

Nog zorgwekkender is dat jij er niets achter zoekt als er zomaar een programma wordt geopend als het notabene gaat om het openen van een programma... even verder denken. Als een T.net bezoeker dat al niet eens door heeft....

Ernstig lek dit.

[Reactie gewijzigd door Jack Flushell op 23 juli 2024 08:13]

F1k @Jack Flushell • 30 maart 2010 23:25

Bij mij ook geen effect, Win XP met Foxit reader.
Wel heb ik mijn OS op D:\ staan, wellicht dat ie t hardcoded had

Tukkertje-RaH @F1k • 31 maart 2010 09:52

Klopt - als je de PDF opent met vi oid:

root@qalab139-92-250-59:~/pdf# head calc.pdf
%PDF-1.1
1 0 obj
<<
/OpenAction <<
/F <<
/DOS (C:\\\\WINDOWS\\\\system32\\\\calc.exe)
/Unix (/usr/bin/xcalc)
/Mac (/Applications/Calculator.app)

Alhoewel het schunnig is dat deze applicatie zo eenvoudig geopend wordt, kan ik me niet voorstellen dat dit de eerste keer is dat dit lek wordt gebruikt. Op isc.sans.org wordt vaker gesproken over obfuscated javascript in PDF files - en die zijn vaak veel lastiger te vinden...

Cybergamer @F1k • 31 maart 2010 08:23

Slordig. Ik zou zelf %SYSTEMDRIVE% of %SYSTEMROOT% gebruikt hebben.

Maarja, het gaat natuurlijk om een proof-of-concept.

Verwijderd @Jack Flushell • 30 maart 2010 22:13

Juist wel, het punt van het nieuwsbericht is om een lek te laten zien. Dit lek maakt het mogelijk om via een PDF bestand een ander programma te openen met alle gevolgen van dien.

Nu maakte ik de opmerking dat, in tegenstelling tot vele andere, bij mij calc.exe niet direct wordt geopend, maar als Foxit is afgesloten/afsluit. Het lijkt er dus op als het niet het PDF bestand of Foxit zelf calc.exe opent, maar een proces daarnaast (zal waarschijnlijk wel gerelateerd zijn aan...).

Ik zoek er wel iets achter, het is en blijft een ernstig lek, hoewel ik het nog niet mis-/gebruikt heb gezien (behalve dit voorbeeld) zal dat niet lang meer duren denk ik. Ik maar me echter geen zorgen omdat ik vrijwel niets met PDF doe, hoewel dat waarschijnlijk weinig uitmaakt.

J.J.J. Bokma @Verwijderd • 30 maart 2010 22:54

Maar dan nog: het maakt niet uit of die exe direct opstart of bij het afsluiten van Foxit. Een stukje malware gaat niet onnodig een venstertje openen om jouw aan het denken te zetten, natuurlijk.

Wim-Bart @Verwijderd • 30 maart 2010 22:26

Geen Rekenmachine bij openen onder Windows 7 en geen rekenmachine bij afsluiten van Foxit onder Windows 7.

musiman

@Wim-Bart • 30 maart 2010 23:12

Bij mij wel: foxit reader op een Server 2008 r2 datacenter edition

Gaaf, dit soort exploits. Echt. Want daar worden de devs wakker door en leren ze eindelijk eens proper programmeren. Veel exploits zijn gewoon te wijten aan slecht programmeerwerk, waarbij zaken niet goed worden afgecheckt.

m4-io @musiman • 31 maart 2010 00:39

Jep en 't is eenvoudig op te lossen door er mee tijd aan te besteden en de software duurder te maken. Nu jij weer.

kidde @m4-io • 31 maart 2010 01:29

Okular op Linux heeft er geen last van, en dat is gratis.

Denni @kidde • 31 maart 2010 08:10

Okular op Linux heeft er geen last van, en dat is gratis.

Lijkt me redelijk logisch aangezien hij exe's opent.
Ik ben inderdaad wel benieuwt of deze bug ook te vinden is in de mac en linux software of dat dit puur een Windows probleem is..

Verwijderd @Denni • 31 maart 2010 08:26

Als je calc.pdf leest zie je dat voor Mac en Linux andere dingen worden geprobeerd. Zo wordt op Linux /usr/bin/xcalc aangeroepen (werkt schijnbaar alleen in AcroRead 8.1.2+ op KDE, Gnome of xfce), en op Mac probeert 'ie Calculator.app te starten.

Ik heb er zelf overigens geen last van; ik gebruik SumatraPDF (FOSS PDF-reader voor Windows) en die heeft die functionaliteit blijkbaar gewoon niet.

Ik zie eerlijk gezegd ook niet in waarom een PDF meer moet kunnen dan pagina's met tekst en afbeeldingen coderen. Natuurlijk zijn extra features als ingekapselde bestanden handig, maar zodra je iets buiten het documentmodel kunt regelen gaat het gewoon te ver.

humbug @Denni • 31 maart 2010 09:00

In principe is het een deel van de PDF standaard. De PDF viewers onder OS/X en Linux zouden dezelfde standaard moeten volgen en dus hetzelfde moeten werken.

Ik vraag me wel af of dit een probleem is voor adobe of enkel voor de Foxit reader. Adobe toont een waarschuwing en de gebruiker moet handmatig bevestigen, Foxit laat de bestanden zonder bevestiging door.

the_shadow @kidde • 31 maart 2010 08:13

Misschien omdat een exe uitvoeren op Linux per definitie niet heel snel zal gaan?

u_nix_we_all

@the_shadow • 31 maart 2010 10:28

Op linux heb je ook executable bestanden. Ze heten dan wel geen .exe, maar het principe is hetzelfde.

Slechte zaak dat een dergelijke "feature" bestaat in de PDF specificatie, lijkt mij ook nergens voor nodig.

HoeZoWie @Verwijderd • 31 maart 2010 12:09

Grappig als je:
http://seclabs.org/fred/d...s/actions/launch/calc.pdf
Embedded opent in IE8, doet ie dat niet!
Schijnbaar zijn dan (wanneer openen in IE8) niet alle functies 'bereikbaar' voor Adobe Acrobat Reader 9.3.1.

Jammer voor Foxit Reader hier wel onder te leiden heeft,
Foxit stond voor velen juist bekend als 'snel, veilig, en zonder toeters en bellen'.

[Reactie gewijzigd door HoeZoWie op 23 juli 2024 08:13]

Menesis @Verwijderd • 30 maart 2010 23:01

Hahaha, jij bent wakker =)

gunnie_nl @Verwijderd • 1 april 2010 09:39

uuuh, wat dachtje van: calc.pdf
This page is empty but it should start calc :-D
Dont be afraid of the pop-ups, just click them...

dit geeft toch aan dat deze pdf een exe uit kan en gaat voeren.

wie is hier nu de frietzaak? jij of ik?

BounceMeister @Maverick • 31 maart 2010 09:02

Hier gebeurt er niets met het gelinkte bestand in het bericht dat Fragmentation linkt. Hij opent de pdf, maar geen calculator, ook niet bij afsluiten. Ik gebruik Windows XP SP3 en Foxit Reader 2.3 Build 2923, systeem staat op D:\.
Kan het te maken hebben met bepaalde instellingen?

[Reactie gewijzigd door BounceMeister op 23 juli 2024 08:13]

Tukkertje-RaH @BounceMeister • 31 maart 2010 10:27

Dat heeft inderdaad te maken met instellingen...

In de PDF staat hard-coded het pad naar calc.exe op c:\windows\system32.

Omdat jouw systeem op D: staat loopt daar de call naar calc.exe vast. Met een hex editor kan je vast het pad in de PDF wijzigen - of je zou voor de grap een c:\windows dir aan kunnen maken met calc.exe erin...

Vind dit overigens een serieus probleem van Foxit

mike123 @Tukkertje-RaH • 31 maart 2010 23:13

Hier word de calculator ook niet geopend. Windows staat gewoon op de C schijf en calc.exe staat in c:\windows\system32.
Windows is XP pro, sp3

Bjornski @DRaakje • 30 maart 2010 18:00

Nope. Geen hoax denk ik.
Hij heeft de PDF, waarin hij de tekst van de melding aanpast, nog niet vrijgegeven.
De versie die je kunt downloaden is zonder het aanpasen van de tekst.
(zie ook tekst van de blog)

[Reactie gewijzigd door Bjornski op 23 juli 2024 08:13]

roy-t @Bjornski • 30 maart 2010 21:20

Nouja geen hoax maar ipv "Hacker laat pfd bestanden programma's uitvoeren" is het eigenlijk: "Hacker verandert deel waarschuwingstext over dat er een bestand uitgevoerd gaat worden als dit pdf bestand geopend wordt" imho hadden veel gebruikers
waarschijnlijk hoe dan ook op doorgaan geklikt.

Beetje een non-hack dus.

ToolkiT @roy-t • 30 maart 2010 21:34

Hacker truukt mensen om programma te laten uitvoeren is de juiste beschrijving..

Het is natuurlijk wel een exploit mogelijkheid die gedicht moet worden. Want je kan er makkelijk mensen me om de tuin lijden om kwalijke code te draaien zonder dat ze dat door hebben..

robvanwijk

Beveiliging
Netwerk en systeembeheer

@ToolkiT • 31 maart 2010 00:49

Ik denk dat roy-t bedoelt dat die tekst niet heel veel uitmaakt. Als zet je er neer "WARNING: Clicking okay will install a virus!!" dan nog klikt het grootste deel van de mensheid toch op OK (deels omdat ze het niet geloven, voor een nog groter deel omdat ze het niet eens lezen). Dus ja, het is indrukwekkend dat ie een tekst aan kan passen die duidelijk niet bedoeld is om aangepast te worden, maar in de praktijk is de impact waarschijnlijk redelijk klein.

Fridge-RaideR @DRaakje • 30 maart 2010 18:00

Ik heb t zelfde in beeld hier, adobe 9.2.0 op win7

Fermion @DRaakje • 30 maart 2010 18:31

Geen hoax, via mijn firefox en de foxit pdf reader wordt cmd opgestart.

Bekijk het zelf maar:
http://didierstevens.com/files/data/launch-action-cmd.zip

Convirion @DRaakje • 30 maart 2010 20:01

Ik draai Adobe Reader 9.2.0 op Win7 en hij geeft aan dat hij CMD.exe wil openen.
Ook geprobeerd met Adobe Reader 8.1.3 op win Xp en ook hier zegt hij dat hij CMD.exe wil openen. Dus iets klopt er niet...

*kuch* leer lezen *kuch*

Quote van de website van de blogger: "I’m not publishing my PoC PDF yet, but you can download a PDF that will just launch cmd.exe here. Use it to test your PDF reader."

http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

[Reactie gewijzigd door Convirion op 23 juli 2024 08:13]

Remco Kramer @DRaakje • 30 maart 2010 22:57

Je moet het bestand wel downloaden en dan openen, niet in je browser laten openen, want daar werkt het niet.
Ik draai Win7 + laatste Adobe Reader (9.3.1) en Calculator start 'gewoon'.

gbh @DRaakje • 30 maart 2010 18:09

niks hoax, win 7 blokkeerd dat zooitje

? ? @gbh • 30 maart 2010 18:50

Win7 + foxit PDF reader = mooi command.com venstertje zonder énige waarschuwing.
Dat is voor foxit reader ietsje minder

Persoonlijk open ik liefst de html versie van pdf's die google aanbiedt op internet. Gemakzucht en ook een beetje uit veiligheid. Zo zie je maar.

[Reactie gewijzigd door ? ? op 23 juli 2024 08:13]

Verwijderd @? ? • 30 maart 2010 23:12

Inderdaad, Win 7 met Foxit PDF Reader start ZONDER enige melding het cmd.exe programma. Zeer ernstig dus !!

badflower @Seraphyn • 30 maart 2010 18:38

tja dat krijg je er van. Ipv bij hun core-business te blijven (documenten laten zien) heeft Adobe extra functionaliteit toegevoegd. Maar wie heeft die functionaliteit nu echt nodig? Ik zelf kan echt geen situatie bedenken dat ik zou willen dat een .pdf bestand bij het openen automatisch een programma opent. Dus gemaakt voor een kleine niche groep onder het mom van we moeten vernieuwen en naar versie x.x
Maar ondertussen is de boel lek voor de massa.

Verwijderd @badflower • 30 maart 2010 18:47

Wat dacht je van een gebruiksaawijzing die alvast voor jou het onderdeel opstart dat je moet gebruiken?

Das maar 1 voorbeeld

gfgw @Verwijderd • 30 maart 2010 19:10

Het omgekeerde lijkt me logischer: programma wordt gestart, en bij de eerste keer opent de helpfile. En verder bestaat er nog zoiets als context help.

locke960 @Verwijderd • 30 maart 2010 19:55

En dan heb je straks dus een groep gebruikers die niet beter weet dan dat ze via de gebruiksaanwijzing hun programma moeten opstarten. De groep gebruikers die sowieso nooit iets bij leert zeg maar, en dat is waarschijnlijk dezelfde groep die ook gewoon altijd zonder kijken 'ok' klikt.
En voor dat gemak heeft Adobe dus honderden miljoenen pc's op deze wereld een flink stuk kwetsbaarder gemaakt met al die actieve ongein.

badflower heeft gewoon gelijk, Acrobat reader was ooit een van de meest nuttige tools voor op je computer maar tegenwoordig is het niet alleen bloated, het is ook nog eens de meest gebruikte vector voor het verspreiden van malware. ( http://www.schneier.com/b...0/03/pdf_the_most_co.html )

Adobe heeft het eigen belang (meer omzet door verkoop van nieuwe uitgebreidere versies) boven dat van honderden miljoenen computer gebruikers op deze wereld geplaatst. Juridisch staan ze in hun recht natuurlijk, maar moreel gezien deugt het niet.

GerhardBurger

@badflower • 30 maart 2010 20:31

Wel eens ProTeXt geinstalleerd? ideal vanuit PDF. En de dingen die je met ProTeXt kunt doen, laten Microsoft Word mijlenver achter zich.

Verwijderd @Seraphyn • 31 maart 2010 11:24

Zolang applicaties maar steeds meer mogelijkheden gaan bieden voor het type document, blijven virusmakers hiervan profiteren. Straks kun je zelfs vrije executie-code (of macro's) in bijv. JPEG-jes douwen, wat alleen bepaalde grafische editors ondersteunen en kunnen uitvoeren.
De truc om dit te beveiligen is door een applicatie zodanig te bouwen dat hij niets meer en minder doet met de gelezen bits en bytes als rauwe data uitlezen en bewerken, en verder niets geen "overige extra functies".

musicer 30 maart 2010 17:49

Tja maar als je zo'n omslachtig berichtje te zien krijgt klik je er toch ook niet op. Maar wel netjes dat hij dit even meld. Er zijn toch denk ik wel mensen die dit niet zo snel door hebben.. Helaas, want heel veel virussen werken op zo'n soort manier.

Orian @musicer • 30 maart 2010 17:52

99% van de mensen leest niet eens wat er staat en klikt sowieso op ok. Van de overige 1% kun je het overgrote deel makkelijk voor de gek houden met een berichtje in de trand van "Dit bestand is nodig om verder te lezen, druk aub op ok".

Britney65 @Orian • 30 maart 2010 18:00

Foxit Reader geeft niet eens een waarschuwing en voert de code gewoon uit

Waarom zou een pdf ooit code moeten kunnen uitvoeren?

edit:
Stond ook al op zijn blog

[Reactie gewijzigd door Britney65 op 23 juli 2024 08:13]

F.West98

@Britney65 • 30 maart 2010 19:05

bij mij wel een waarschuwing, maar geen UAC. Als ik normaal via Start > Bureau-accessoires > Opdrachtprompt cmd probeer te starten krijg ik gewoon een UAC. Heb hem op 'altijd' staan. Win7 here

Peetz0r @F.West98 • 30 maart 2010 23:31

Blijkbaar start foxit/adobe reader de prompt als normale user, en menu start als admin. Vaag. Kan je vanuit het menu start cmd alleen als admin starten, of ook nog als normale gebruiker?
* Peetz0r verbaasd zich weer eens om de zogenaamde veiligheid van windows, al dan niet door UAC...

Bjornski @musicer • 30 maart 2010 17:53

edit:
Wat hij zegt ^^^

De gemiddelde tweaker niet. De gemiddelde gebruiker zoekt direct naar de "Ok" knop en denkt bij het zien van de "Open" knop; "goed genoeg voor mij".

[Reactie gewijzigd door Bjornski op 23 juli 2024 08:13]

Gamebuster @Bjornski • 30 maart 2010 17:56

Zoiets ja

Zeker bij windows met al die meldingen

ZpAz

Adobe

@Bjornski • 30 maart 2010 18:45

Inderdaad, laatst gingen m'n neef en ik een spel tegen elkaar installeren, had flash nodig... hij speelde op mijn laptop waar ik nog geen flash op had.... ik zo eerste hit 'flash player' in google...

Hij installeren, halverwege, ja maar het wil niet? Bleek dat ie al weer halverwege zat om een betaal service te installeren... vraag me af hoe die dat zo snel voor elkaar kreeg.

Verwijderd @ZpAz • 30 maart 2010 18:52

lol

ik ben zelfs zo paranoia dat ik geen OK knoppen durf aan te klikken bij bijv zo'n firefox 'do you really want to close this window?' .. dan breng ik firefox gewoon ff om zeep

en ik durf eigenlijk ook geen cancel knoppen in popup kaders in FF aan te klikken. vertrouw et gewoon niet.. ook dan, de kill

misschien wat extreem, maar t werkt wel, nooit ergens last van

johnwoo

@ZpAz • 30 maart 2010 19:20

Jij bedoelde natuurlijk de eerste hit van de normale zoekresultaten, maar als je "flash player" googlet staat er nog een dubieuze sponsored link boven de zoekresultaten... Of nou ja, dubieus, met de taalfouten en onlogische content op die pagina weet ik wel zeker dat dat malware is

(aan de bron te zien komt het vanuit Spanje)
Dikke kans dat je neef dat als "eerste hit" zag en dat spul aan het installeren was...

[Reactie gewijzigd door johnwoo op 23 juli 2024 08:13]

ZpAz

Adobe

@johnwoo • 30 maart 2010 19:35

Dat zou opzich kunnen, het gedownloade icoontje leek ook op de 'echte flash-player' alleen de installatie was wat anders... maar goed, geeft maar aan hoe snel er altijd maar op 'ok' wordt gedrukt en er door wordt geklikt.

Verwijderd 30 maart 2010 17:51

Als hij het gelijk openbaar maakt kunnen hackers erop inspelen, maar kunnen ook de software ontwikkelaars het fixen... Het is een veilig format, dat PDF, zolang je er ook zo maar mee omgaat...

robvanwijk

Beveiliging
Netwerk en systeembeheer

@Verwijderd • 31 maart 2010 01:00

Als hij het gelijk openbaar maakt kunnen hackers erop inspelen, maar kunnen ook de software ontwikkelaars het fixen...

Jij denkt dat "Adobe inlichten" alleen betekent dat ie ze vertelt dat er een probleem is? Of zou ie hen al wel alle details geven? Denk er maar eens over na...

Het is een veilig format, dat PDF, zolang je er ook zo maar mee omgaat...

Huh...!? "Zolang je er maar veilig mee omgaat"? Met die redenatie zijn kernbommen en asbest zelfs nog veilig. Toch vervelend dat de auteurs van malware vaak juist op zoek gaan naar die onveilige manieren om formats te gebruiken. Je zou bijna denken dat ze het expres doen ofzo...

deej1977 @Verwijderd • 31 maart 2010 09:11

PDF veilig? Ik denk het niet. Er bestaan PDF bestanden die zonder pardon een trojan op je PC plaatsen die een backdoor opent naar een Command & Control server (en daarbij netjes de settings van je Internet Explorer gebruikt om geen argwaan te wekken). De exploit werkt op de laatste Adobe PDF reader, en laat dat nu de meest gebruikte zijn. Ik werk voor een bedrijf dat in de IT beveiliging zit en we gebruiken die zelfgeschreven hack om mensen te wijzen op het belang van desktop security (en om te verkopen uiteraard

).

De bron van al dat gevaar is de scripting taal in PDF en de brakke veiligheid van de PDF readers in het omgaan. En die wordt nu al massaal misbruikt voor o.a. targeted attacks tegen banken of andere instellingen waar veel geld omgaat.

Als men PDF echt veilig wil maken moet men die scripting taal eruit slopen.

DexterDee 30 maart 2010 18:09

Op de Mac gebeurt er hier in ieder geval niks. Geen popups en geen foutmeldingen. cmd.exe bestaat uiteraard niet. Ook die cross-platform PoC die gepost staat in de comments doet niks, alhoewel deze volgens de tekst de Mac calculator zou moeten oproepen... (OSX 10.6.3)

[Reactie gewijzigd door DexterDee op 23 juli 2024 08:13]

ppl

Beveiliging

@DexterDee • 30 maart 2010 20:14

In de comments op dat blogartikel staat iemand die een pdf gemaakt heeft zodat je het zelf kunt testen. In die pdf staat keurig netjes aangegeven welke pdf readers er last van hebben en welke niet. Op de eerste pagina staat het volgende:

Mac:
- Preview does not support PDF keyword /Launch
- Acrobat Reader 8.1.2: starts Calculator.app

Er gebeurd dus alleen iets wanneer je gebruik maakt van Adobe Reader. Aangezien OS X standaard al een pdf reader heeft in de vorm van Preview (of Voorvertoning op z'n Nederlands) die dat "launch" niet ondersteund zit het merendeel van de OS X gebruikers veilig. Gezien de enorme hoeveelheid security bugs die gevonden worden in Adobe's eigen pdf formaat (dus niet de pdf formaten die het ISO beheert) en de bijbehorende apps is het beter om gewoon Preview te gebruiken en Adobe Reader van je Mac te verwijderen.

Voor Linux gebruikers staat er ook nog een interessant stukje:

Linux: ! Assumes xcalc is in /usr/bin/xcalc
- poppler: does not support PDF keyword /Launch
- Acrobat Reader 7:
1. popup telling it can not open "xcalc" (dumb reasons)
2. popup proposing to open "xcalc" (warning) 3. starts "xcalc"
- Acrobat Reader 8.1.2: based on xdg-open
* if you are running KDE, Gnome or xfce, xcalc is started after a popup
* otherwise, your brower is started and tries to download "xcalc"

arjankoole

Beveiliging

@DexterDee • 30 maart 2010 20:51

Inderdaad, maar gebruik je preview of gebruik je acrobat reader? Volgens mij implementeerd Apple alleen Open-Spec PDF, niet de propietary dingen van Adobe.

Cergorach

Adobe

30 maart 2010 18:16

Ik weet niet beter dan dat het al vrij lang kan dat je nare code vanuit een pdf bestand kan aansturen, volgens mij is dat niet groot nieuw nieuws. Wellicht dat deze implementatie nieuw is. Waarom Adobe dat soort ongein ooit aan de PDF specificatie heeft toegevoegd is mij een groot raadsel, het was bedoelt om er voor te zorgen dat de layout vast stond zodat het op elke machine op dezelfde manier wordt gerenderd door een printer.

Verwijderd @Cergorach • 30 maart 2010 18:28

om bijvoorbeeld bij pdf presentaties (je kan pdf voor meer gebruiken dan enkel afdrukken, ik gebruik het veel voor presentaties) waarin een filmpje zit ook de videospeler mee te sturen ofzo

ik weet niet of dit echt gebeurt, maar het zou kunnen he

Cergorach

Adobe

@Verwijderd • 30 maart 2010 18:41

Ik krijg er een beetje het Zwitserse zakmes gevoel van, zowel een koekenpan, als een cirkelzaag, als een hengel. Ze willen er gewoon teveel mee, het is niet bedoeld voor presentaties te geven, probeer het er dan niet van te maken, dan krijg je dit soort onveilige situaties. Zowel Adobe en MS hebben hier een vervelend handje van met hun applicaties.

lolcode @Cergorach • 30 maart 2010 19:10

PDF zou volgens jou niet geschikt zijn voor presentaties...
Ik weet niet of je ooit van LaTeX hebt gehoord maar daar kun je onder andere pdf-presentaties mee maken hoor. En je kunt er ook gewoon effecten instoppen.

Verder wist ik wel dat er met PDF aardig wat te embedden was (fonts e.d.) maar nu blijkbaar dus ook hele programma's... Leuk dat t mogelijk is, maar niet iets wat ik nou erg handig of ook maar enigszins nuttig vind. PDF moet portable zijn (=o.a. cross-platform) maar als je er een videospeler in zou kunnen stoppen zal die wss niet echt meer Portable zijn...

increddibelly @lolcode • 30 maart 2010 20:14

dat is niet het punt - de vraag is waarom je in vredesnaam met een PDF iets anders dan een document zou willen maken. Rond versie 5 van Acrobat Reader was het gewoon af, alles zat erop wat je ooit nodig had om een prachtig document te tonen.
Maar ondanks dat er al jarenlang tientallen applicaties zijn die op een veel prettiger manier presentaties / filmpjes / miscellaneous produceren, wil adobe koste wat kost dat we met z'n allen gaan staan zwoegen tot we iets anders dan een document uit een PDF kunnen wringen.
zelfde met photoshop zo onderhand...software met zwembandjes.

Jammer dat ze de energie sinds versie 5 niet in de ontwikkeling van een nieuw, fatsoenlijk product hebben gestoken. Dan was dat inmiddels ook af geweest...

Tralalaa 30 maart 2010 19:32

Gaat .pdf nu ook als potentieel gevaarlijke extensie worden gezien door virusscanners bij bedrijven? Zodat naast .doc, .zip etc. ook mail met pdf, zonder attachment aankomt.

ppl

Beveiliging

@Tralalaa • 30 maart 2010 20:18

Ik denk dat dit alleen maar aantoont dat Adobe nu echt met z'n vingers van pdf af moet blijven. Ze bezorgen de ISO formaten een hele slechte reputatie ondanks het feit dat deze afwijken van wat Adobe zelf fabriekt. Het is met name features als scripts die je erin kunt proppen die het zo onveilig maakt. Het was ooit begonnen als een alternatief voor postscript maar inmiddels lijkt het voor van alles en nog wat gebruikt te kunnen worden. De praktijk begint nu uit te wijzen dat dat niet zo'n slim plan is. En dat terwijl pdf nu eindelijk gemeengoed was geworden. Geen rooskleurige toekomst zo, bah

ZpAz

Adobe

@Tralalaa • 30 maart 2010 19:39

Snap ook niet dat het mogelijk moet zijn om in PDF (wat van origine een systeem was qua 'What you see is what you print') een .exe in te kunnen voegen...

Verwijderd 30 maart 2010 19:48

PDF = Potentially Dangerous File

Vind persoonlijk ook dat pdf files dit niet zouden mogen doen.

darkfader @Verwijderd • 31 maart 2010 09:39

PDF is niet het enige formaat dat dit soort features heeft, helaas. En programmeurs moeten niet zo laks zijn bij het implementeren van andermans formaten.
Gelukkig controleren meeste PDF-readers wel op software updates.

Op dit item kan niet meer gereageerd worden.

Hacker laat pdf-bestanden programma's uitvoeren

Lees meer

Reacties (141)

Sorteer op:

Weergave: