黑客曝入侵PDF新方法
据资讯网站Zdnet报道,近日,安保人员的一项试验标明,在不应用破绽的状况下也能向PDF植入可口头代码。据安保工程师迪迪埃·史蒂文斯引见,他在经常使用AdobeReader 9.3.1时(XP SP3系统平台)发现应用Social engineering技术可以让个别用户关上PDF文档(被无心修正过)时口头攻打代码(二进制代码或Script脚本程序)。
图(1)
测试显示,AdobeReader会对可疑操作弹出确认框,但黑客仍可控制对话框中的显示消息。相似疑问并没有出如今Foxit中。他还强调即使禁用JavaScript也无法补偿这一缺点。目前,史蒂文斯曾经向Adobe公司汇报并拒绝泄漏更多概略,宿愿Adobe能尽快处置这一缺点。据了解,2009年软件安保状况统计中,由于Adobe软件领有宽泛的用户市场,公司旗下的三款产品被评为破绽最多的软件,PDF Reader正是其中之一,倡导大家尽快更新最新版本并配合安保软件经常使用。