聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁鏈接。。

在今年的信息安全頂級(jí)峰會(huì) S&P 上，來自德國(guó)波鴻魯爾大學(xué)（RUB）的研究團(tuán)隊(duì)介紹了存在于 PDF 格式中的安全缺陷。雖然該漏洞已經(jīng)被大多數(shù) PDF 閱讀器修復(fù)，但是該漏洞的破壞力依然非常強(qiáng)大的。

在研究過程中，研究人員找到了一種方法，可以改變 PDF 的簽名過程，也可以對(duì)變化進(jìn)行注釋。正如他們?cè)诓┛蜕纤忉尩模拔覀儗?duì)PDF認(rèn)證的安全性進(jìn)行了廣泛的分析。在此過程中，我們開發(fā)了邪惡的注釋攻擊（EAA），以及狡猾的簽名攻擊（SSA）”。

在博文中寫道：“該攻擊思路利用了 PDF 認(rèn)證的靈活性，它允許在不同的權(quán)限級(jí)別下對(duì)認(rèn)證文件進(jìn)行簽名或添加注釋。我們的實(shí)際評(píng)估表明，攻擊者可以通過使用 EAA 在 26 個(gè)查看器應(yīng)用程序中的 15 個(gè)應(yīng)用程序中改變可見內(nèi)容，并通過使用符合PDF規(guī)范的漏洞在8個(gè)應(yīng)用程序中改變可見內(nèi)容。我們通過應(yīng)用程序的實(shí)施問題改善了這兩種攻擊的隱蔽性，并發(fā)現(xiàn)只有兩個(gè)應(yīng)用程序?qū)λ泄舳际前踩摹?。通過這個(gè)安全漏洞，就相當(dāng)于在合同或者文件上偽造某人的簽名，通過注釋 PDF 的能力，可以插入條款或協(xié)議的其他功能。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/