PDFCertification存在漏洞，影响24款pdf软件

研究人员在PDF规范中发现了2个安全漏洞，攻击者利用该漏洞可以修改PDF文件的内容而不被PDF软件和用户发现，漏洞影响超过24款PDF软件。

目前成都创新互联公司已为成百上千的企业提供了网站建设、域名、网络空间、网站托管维护、企业网站设计、舟山网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

PDF规范中定义了2种类型的数字签名：批准签名(Approval signature)和认证签名(Certification Signatures)。批准签名是证实特定的文档状态。规范中允许对同一文档使用多个签名。对签名过的文档的其他变化都会引发批准签名的无效和告警。认证签名是一种处理数字签名的文档的灵活机制。在文档认证过程中，文档所有者会定义一个允许修改的列表，这些允许修改的操作不会引发文档认证签名的无效。允许的操作包括写入特定表单、加入批注签名等。因为认证签名会对整个文档设置权限，PDF文档中只允许认证的签名。认证签名必须是PDF中的第一个签名。

研究人员分析认证过的文档的修改时发现了PDF规范中的2个漏洞，分别是 Evil Annotation Attack(EAA，恶意注释攻击)和 Sneaky Signature Attack(秘密签名攻击)。

添加注释来修改文件内容

攻击者利用这2个漏洞可以通过在经过认证的内容之上展示恶意内容来修改PDF文档的可见内容。攻击过程中，认证仍然是有效的，PDF阅读器也不会展示任何告警消息。

研究人员对26个PDF应用进行了测试，发现其中24个PDF应用受到该攻击的影响。随后，研究人员分析了PDF规范中定义的添加批注和签名的权限实现，发现11个应用存在权限匹配错误的问题。

相关研究人员已经被安全顶会IEEE S&P'21录用，论文下载参见：

https://PDF-insecurity.org/download/PDF-certification/paper.PDF

更多关于PDF认证攻击的技术细节参见：https://PDF-insecurity.org/signature/certification.html

本文翻译自：https://PDF-insecurity.org/

分享名称：PDFCertification存在漏洞，影响24款pdf软件
文章网址：http://www.mswzjz.cn/qtweb/news12/233312.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能