luckyea77 (luckyea77) wrote,
luckyea77
luckyea77

Category:

Эксперты по ИТ-безопасности обнаружили, как можно внедрить вредоносный код в PDF-документы



Эксперты по ИТ-безопасности из Рурского университета Бохума обнаружили проблему безопасности в сертификационных подписях PDF-документов. Об этом говорится на сайте учебного заведения.

Специальная форма подписания PDF-файлов может использоваться, например, для заключения договоров. В отличие от обычной подписи, сертификационная подпись позволяет вносить определенные изменения в документ после того, как он был фактически подписан. Это необходимо для того, чтобы вторая сторона договора также могла подписать документ.

Команда из Института безопасности информационных технологий им. Хорста Гёрца в Бохуме показала, что вторая сторона договора также может незаметно изменить текст договора, добавив свою цифровую подпись, без аннулирования сертификации. Исследователи также обнаружили уязвимость в продуктах Adobe, которая позволяет злоумышленникам внедрять вредоносный код в документы.

При использовании сертификационных подписей сторона, которая выдает документ и подписывает его первой, может определить, какие изменения может затем внести другая сторона. Например, можно добавлять комментарии, вставлять текст в специальные поля или добавлять вторую цифровую подпись внизу документа. Группа Бохума нарушила целостность защищенных PDF-документов с помощью двух атак — под названием Sneaky Signature Attack (SSA) и Evil Annotation Attack (EAA). Таким образом, исследователи смогли отображать поддельный контент в документе вместо сертифицированного без аннулирования сертификации или предупреждений со стороны приложений PDF.

Эксперты по ИТ-безопасности протестировали 26 приложений PDF, в 24 из которых им удалось нарушить сертификацию хотя бы одной из атак. В 11 приложениях спецификации для сертификации PDF также были реализованы некорректно.

Источник

Tags: технологии
Subscribe

Posts from This Journal “технологии” Tag

promo luckyea77 september 8, 15:11 2
Buy for 10 tokens
С помощью искусственного интеллекта я создал новую видеоигру под названием « Маг кода». В этой игре игроку предстоит проходить тесты и выполнять практические задания по Python и JavaScript, а также изучать анализ данных, машинное обучение и нейронные сети. Для успешного прохождения тестов и…
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 5 comments