首頁 > 安全研究 > 安全通報 > 安全通告

Pdf閱讀器數字簽名偽造漏洞安全通告

發布時間 2019-03-01

漏洞編號和級別


CVE編號:暫無,危險級別:高危, CVSS分值:官方未評定


影響范圍


受影響軟件以及版本: 




漏洞概述


德國波鴻魯爾大學的學者研究發現,在22PDF閱讀器應用程序和7個在線驗證服務中存在PDF簽名偽造漏洞,這些漏洞可被利用來對PDF文檔的數字簽名進行未經授權的更改,但不會使其無效。


帶數字簽名的PDF文件在企業和政府組織中被作為具有法律效應的正式文件廣泛使用,其中,數字簽名是辨別文件真實性的重要環節,簽名偽造漏洞一旦被惡意利用,則可能給企業和政府帶來商業機密或經濟上的損失。



易受這些攻擊的軟件列表中包括多款較為流行的PDF文檔閱讀器軟件,如Adobe Reader,Foxit Reader,LibreOffice,Nitro Reader,PDF-XChangeSoda PDF等。有缺陷的驗證服務包括DocuSign,eTR驗證服務,DSS演示WebApp,EvotrustVEP.si等。


目前,所有提供PDF閱讀器應用程序的公司都已發布安全補丁來解決這個問題,而一些在線服務尚未解決這些問題。


學者設計了三種PDF簽名欺騙攻擊技術,并分別命名為通用簽名偽造(USF),增量保存攻擊(ISA)和簽名包裝攻擊(SWA)。


USFUniversal Signature Forgery)攻擊中,攻擊者可以操縱簽名中的元信息,這樣PDF閱讀器在驗證簽名時就無法訪問驗證所需的數據,卻始終認為簽名有效,例如Acrobat Reader DCReader XI。


ISAIncremental Saving Attack)攻擊利用PDF規范中的合法功能,允許通過附加更改來更新文件,例如保存注釋或向文檔添加新頁面。該攻擊方案通過更改不屬于簽名完整性保護的元素來修改文檔。


SWASignature Wrapping Attack)攻擊強制簽名驗證邏輯分析與原始文檔不同的文檔部分。這是通過將原始簽名的內容重新定位到文檔中的不同位置并在分配的位置插入新內容來完成的。”SWA 影響了許多PDF閱讀器和一些在線驗證服務。


修復建議


盡快更新工作設備所使用的PDF閱讀器應用程序至官方最新版。


參考鏈接


https://www.nds.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2019/02/12/report.pdf

上一篇 下一篇