日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

研究人員在PDF規(guī)范中發(fā)現(xiàn)了2個安全漏洞，攻擊者利用該漏洞可以修改PDF文件的內(nèi)容而不被PDF軟件和用戶發(fā)現(xiàn)，漏洞影響超過24款PDF軟件。

目前成都創(chuàng)新互聯(lián)公司已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、舟山網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

PDF規(guī)范中定義了2種類型的數(shù)字簽名：批準(zhǔn)簽名(Approval signature)和認(rèn)證簽名(Certi?cation Signatures)。批準(zhǔn)簽名是證實(shí)特定的文檔狀態(tài)。規(guī)范中允許對同一文檔使用多個簽名。對簽名過的文檔的其他變化都會引發(fā)批準(zhǔn)簽名的無效和告警。認(rèn)證簽名是一種處理數(shù)字簽名的文檔的靈活機(jī)制。在文檔認(rèn)證過程中，文檔所有者會定義一個允許修改的列表，這些允許修改的操作不會引發(fā)文檔認(rèn)證簽名的無效。允許的操作包括寫入特定表單、加入批注簽名等。因?yàn)檎J(rèn)證簽名會對整個文檔設(shè)置權(quán)限，PDF文檔中只允許認(rèn)證的簽名。認(rèn)證簽名必須是PDF中的第一個簽名。

研究人員分析認(rèn)證過的文檔的修改時發(fā)現(xiàn)了PDF規(guī)范中的2個漏洞，分別是 Evil Annotation Attack(EAA，惡意注釋攻擊)和 Sneaky Signature Attack(秘密簽名攻擊)。

添加注釋來修改文件內(nèi)容

攻擊者利用這2個漏洞可以通過在經(jīng)過認(rèn)證的內(nèi)容之上展示惡意內(nèi)容來修改PDF文檔的可見內(nèi)容。攻擊過程中，認(rèn)證仍然是有效的，PDF閱讀器也不會展示任何告警消息。

研究人員對26個PDF應(yīng)用進(jìn)行了測試，發(fā)現(xiàn)其中24個PDF應(yīng)用受到該攻擊的影響。隨后，研究人員分析了PDF規(guī)范中定義的添加批注和簽名的權(quán)限實(shí)現(xiàn)，發(fā)現(xiàn)11個應(yīng)用存在權(quán)限匹配錯誤的問題。

相關(guān)研究人員已經(jīng)被安全頂會IEEE S&P'21錄用，論文下載參見：

https://PDF-insecurity.org/download/PDF-certification/paper.PDF

更多關(guān)于PDF認(rèn)證攻擊的技術(shù)細(xì)節(jié)參見：https://PDF-insecurity.org/signature/certification.html

本文翻譯自：https://PDF-insecurity.org/

網(wǎng)站題目：PDFCertification存在漏洞，影響24款pdf軟件
本文鏈接：http://m.5511xx.com/article/coippde.html