[圖]PDF加密協議發現嚴重漏洞 無需密碼可獲取明文內容

2019年10月04日 10:01 次閱讀 稿源:cnBeta.COM 條評論

正如你所預期的,PDF文檔加密功能在商業領域被廣泛使用,它通常用于保護商業秘密,機密圖像以及健康記錄。甚至為了提高安全性,有些企業會以加密PDF附件的形式來發送電子郵件。

通常來說PDF加密方式被認為是安全的,不過來自波鴻魯爾大學和芒斯特大學的研究人員近日發現了可移植文檔格式(PDF)加密標準中存在“嚴重漏洞”,能夠讓攻擊者捕獲明文。換句話說,研究人員發現可以在沒有必需的加密密鑰的情況下獲取加密PDF的內容。

研究人員將這些漏洞稱之為“PDFex”,主要特征包括

● 即使不知道相應的密碼,攻擊者對已經加密的PDF文件進行處理之后也能獲得部分文件內容。

● 更準確地說,PDF規范允許將密文與明文混合。結合允許通過HTTP加載外部資源的其他PDF功能,一旦受害者打開文件,攻擊者就可以進行直接滲透攻擊。

● PDF加密使用密碼塊鏈接(CBC)加密模式,不進行完整性檢查,這意味著密文可延展性。

● 這使我們能夠使用CBC延展性小工具創建自解譯密文部分。我們不僅使用這種技術來修改現有的純文本,而且還要構造全新的加密對象。

在測試中,研究人員確定了兩種符合標準的攻擊,它們可以破壞加密的PDF文件的機密性。測試27個頂級PDF查看器時,所有人都容易受到至少一種攻擊的攻擊,包括Foxit Reader,Adobe Acrobat,Chrome和Firefox等軟件。

研究人員得出結論,這些問題必須在將來的PDF規范中解決,并將在下個月的ACM計算機和通信安全會議上發表他們的發現。

活動入口:

天翼云大促領萬元紅包 爆款云主機僅需79元/年

阿里云 - 云大使推廣活動 每單返現高達23-31%

對文章打分

[圖]PDF加密協議發現嚴重漏洞 無需密碼可獲取明文內容

4 (24%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    熱門評論

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 博彩快捷支付论坛