來(lái)自波鴻魯爾大學(xué)和明斯特大學(xué)的研究人員在PDF加密方式中發(fā)現(xiàn)了兩個(gè)主要的安全漏洞。PDF文檔常被使用加密方案，確保只有目標(biāo)收件人才能看到

來(lái)自波鴻魯爾大學(xué)和明斯特大學(xué)的研究人員在PDF加密方式中發(fā)現(xiàn)了兩個(gè)主要的安全漏洞。

PDF文檔常被使用加密方案，確保只有目標(biāo)收件人才能看到私人文檔，除此之外，醫(yī)生、律師甚至公司也已開(kāi)始使用該方法保護(hù)隱私。但是現(xiàn)在看來(lái)，此類(lèi)文檔的加密方案具有兩個(gè)主要漏洞，研究人員將它們稱(chēng)為單個(gè)PDFex漏洞的兩個(gè)變體。

研究人員稱(chēng)之為“直接滲透”的第一個(gè)變種利用了PDF加密規(guī)范，也就是執(zhí)行加密的軟件不會(huì)對(duì)PDF文件的每個(gè)部分進(jìn)行加密，這使得文件的一部分可以被黑客查看到。攻擊者通過(guò)注入代碼，可以在合法用戶(hù)打開(kāi)文檔時(shí)，運(yùn)行該文件的未加密的部分文件。打開(kāi)文件后，添加的代碼可以將文件的內(nèi)容發(fā)送到攻擊者指定的站點(diǎn)。

第二個(gè)變體沒(méi)有名稱(chēng)，攻擊者使用密碼塊鏈接小工具將PDF文檔中存在的純文本更改為代碼，就像第一個(gè)變體一樣，當(dāng)合法用戶(hù)打開(kāi)文件時(shí)，嵌入式代碼將執(zhí)行，將文檔發(fā)送到攻擊者指定的站點(diǎn)。

為了使兩種攻擊都起作用，攻擊者必須首先獲得對(duì)PDF文件的訪(fǎng)問(wèn)權(quán)限，然后再發(fā)送該文件。這意味著攻擊者必須用一種病毒來(lái)感染初始用戶(hù)的計(jì)算機(jī)，該病毒會(huì)啟動(dòng)侵入PDF文件的代碼。（oschina）

關(guān)鍵詞： PDF 加密方式 安全漏洞