In PDF c'è una vulnerabilità by design

Un ricercatore ha illustrato una tecnica che consente di eseguire un comando a distanza via PDF senza sfruttare alcuna specifica vulnerabilità di sicurezza

Roma – Per eseguire comandi a distanza usando come vettore un documento PDF non c’è bisogno di sfruttare alcun bug di sicurezza: basta servirsi di una caratteristica prevista dallo stesso standard di Adobe. L’autore della scoperta è Didier Stevens, ricercatore di sicurezza e sviluppatore di alcuni noti tool per l’analisi dei file PDF.

Nel suo blog Stevens spiega di aver scoperto come sia possibile utilizzare una funzionalità nativa della specifica PDF per eseguire un programma a suo piacere: tale programma può trovarsi inglobato nel documento PDF o essere già presente sul computer della vittima. Sebbene il ricercatore non abbia ancora divulgato alcun codice proof of concept, ha pubblicato un documento PDF che, non appena aperto, lancia il programma cmd.exe di Windows.

Prima di eseguire il comando, Adobe Reader chiede all’utente di autorizzare l’operazione informandolo dei rischi correlati. Ma l’esperto di sicurezza sostiene che il testo di questa finestra di dialogo può essere parzialmente modificato così da indurre l’utente a premere il fatidico Ok. Ma c’è di peggio: Foxit Reader, una delle più diffuse alternative ad Adobe Reader, non avvisa neppure l’utente. “In questo modo sono riuscito ad eseguire un EXE embedded senza alcuna interazione da parte dell’utente”, ha commentato Stevens.

“I viewer di file PDF come Adobe Reader e Foxit Reader non consentono che dei file eseguibili (come binari e script) vengano estratti ed eseguiti” spiega il ricercatore. “Ma ho trovato un metodo che mi consente di lanciare un comando (/Launch /Action) e, in definitiva, far girare un eseguibile che ho inglobato (nel documento PDF, NdR) usando una tecnica speciale”.

Stevens dice di aver testato il suo attacco sotto Windows XP SP3 e Windows 7 e di aver già condiviso i dettagli della sua scoperta con Adobe.

Proprio poche settimane fa F-Secure ha pubblicato uno studio da cui emerge che, nel corso del 2009, Adobe Reader è stata l’applicazione più bersagliata dai cracker: il numero di attacchi diretti verso il popolarissimo viewer di Adobe ha superato di buona misura anche quello degli attacchi diretti contro Office e Windows. Nell’estate del 2009 il chief research office di F-Secure, Mikko Hypponen, si era spinto a raccomandare agli utenti di non usare Adobe Reader.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • poiuy scrive:
    Re: LUNGO:dall'autoconsapevolezza a.. p1
    Premetto che il discorso che hai fatto è interessante.Solo che vedo diversa confusione e piani diversi mischiati assieme.Scrivo alcuni dubbi, non mi esprimo meglio perché c'é molta confusione anche nel mio pensiero.- "La consapevolezza è nata dall'evoluzione..." Questo non implica che non possa nascere da un piano non evolutivo.Potrà un programma binario o quantistico un giorno essere autoconsapevole? Questo è il punto, e non le speculazioni correlate.- "Essere autoconsapevole implica essere vivo e sapere di esserlo." Si ritiene che alcune forme animali non siano autoconsapevoli.Anzi, se non ricordo male, si ritiene che poche forme animali siano autoconsapevoli. Vivo diverso da autoconsapevole.- "Peccato che la formica si è formata dopo miliardi di anni di massicce interazioni in un universo praticamente infinito."Questo rientra nel primo errore logico. Semplifichiamo per un attimo. Ammettiamo che l'evoluzione sia dovuta a mutamenti casuali dei geni (+ selezione naturale).Per provare una nuova combinazione servono determinate condizioni che richiedono tempo. Se diminuisco questo tempo e provo miliardi di combinazioni al secondo,i "miliardi di anni" da te ipotizzati possono diventare giorni. Questo è un percorso casuale... e in un percorso metà casuale e metà guidato (come quello di cui parla l'articolo) che succederebbe?- "Per me ci si può arrivare..." Ecco, per te. Per gli altri invece è irrilevante questo tuo pensiero. Volendo essere più precisi, il fatto che per te qualcosa va fatto in un certo modo, non implica che sia un modo intelligente (né stupido) di procedere.- "... fino a che non si trova una formula non solo per descrivere la realta' ma anche per predirla, l'impredicibilità implica una possibilità di libero arbitrio anche se tutto per l'ipotetico dio è già scritto."In questo pragrafo (non solo nella frase da me citata) trovo diversa approssimatività. Ammetto che alcuni significati mi sfuggono perché sono abituato a termini scientifici e non filosofici e questo nulla toglie a quelli filosofici.Ad ogni modo: mai sentito parlare di modelli non deterministici? E di Heisenberg? L'idea di formula predittiva è abbandoanta, a meno che non intendi predizione con affiancata una certa probabilità. Determinismo ormai abbandonato.Comunque la questione "libero arbitrio" è interessante e ne poni diverse sfumature che danno spunto di riflessione.- "Se torno dal futuro..." I viaggi nel tempo sono un'altra questione. Un certo Stephen Hawking sostiene che i viaggi nel tempo potrebbero esistere (anche se probabilmente non esistono) e che i paradossi sono un problema logico nostro.- "In più finché non si scopre se altri piani di realtà influenzano il nostro non sappiamo se possono influenzare anche il nostro mondo virtuale"Un po' troppo speculativo... come dire "finché non so tutto, non posso dire niente"?- "La realtà è sogno, la realtà è ..." Espongo il punto di vista opposto. Della realtà non me ne frega niente, nella scienza. Mi interessa solo ciò che è rilevabile (anche indirettamente) della realtà.La materia oscura non è rilevabile direttamente, ma i suoi effetti gravitazionali si... per cui mi interessa.Viceversa, se esistesse una entità suprema che non ha mai interferito col nostro universo, una entità la cui esistenza non alteri il nostro universo... allora non esiste.Sarò ancora più preciso. Se tutto, qualunque interferenza, viaggia alla velocità della luce, allora le parti di universo che non possono interferire con noi non esistono. Se c'è stato un altro big bang, ma a causa del limite sulla velocità della luce, non ha interferito con il nostro universo... allora non esiste.E' solo una posizione estrema volutamente contrapposta al concetto di "matrix" da te esposto.- "...sistemi logici simili o dissimili al nostro ma internamente validi..." Una funzione (come un sistema logico) è definita (internamente) nel suo dominio. Chiedersi cosa fa una funzione al di fuori del dominio è metafisica... a meno che non si indaghi il comportamento nei punti di accumulazione... i punti di accumulazione sono il massimo di metafisica concessa ad una teoria scientifica.- Un essere bidimenzionale che vive su di una sfera, ad un certo punto capirà che esiste la 3za dimensione a causa del fatto che i triangoli non hanno somma interna di 180°. Così come noi capiamo che lo spazio a causa della gravità si curva.Concludo dicendo il tuo discorso mi è piaciuto (forse più del mio), ma che prefersico i discorsi meno citati e più esplicativi. Mentre non mi piacciono quelli che vogliono solo dire "E' talmente complicato che non si può dire niente".
    • anonymous scrive:
      Re: LUNGO:dall'autoconsapevolezza a.. p1
      Ti credo che ho mischiato piani, ho condensato.
      Potrà un programma binario o quantistico un
      giorno essere autoconsapevole? Questo è il punto,
      e non le speculazioni
      correlate.Ma lo vedo come traguardo di enorme ma minore portata. O la nostra consapevolezza è frutto di creazione, e allora una consapevolezza creata è potenzialmente equivalente e traguardo di tutto rispetto, o la nostra è frutto di caso, e allora una consapevolezza "ingegnerizzata" non ci dice niente riguardo a noi stessi e molti aspetti del mio commento non si applicano neanche.
      - "Essere autoconsapevole implica essere vivo e
      sapere di esserlo." Si ritiene che alcune forme
      animali non siano
      autoconsapevoli.infatti e' condizione sufficiente non necessaria e sufficiente.
      Anzi, se non ricordo male, si ritiene che poche
      forme animali siano autoconsapevoli. Vivo diverso
      da
      autoconsapevole.D'accordo, anche certi uomini in determinate condizioni forse non sono consapevoli...
      - "Peccato che la formica si è formata dopo
      miliardi di anni di massicce interazioni in un
      universo praticamente
      infinito."
      Questo rientra nel primo errore logico.
      Semplifichiamo per un attimo. Ammettiamo che
      l'evoluzione sia dovuta a mutamenti casuali dei
      geni (+ selezione
      naturale).
      Per provare una nuova combinazione servono
      determinate condizioni che richiedono tempo. Se
      diminuisco questo tempo e provo miliardi di
      combinazioni al
      secondo,
      i "miliardi di anni" da te ipotizzati possono
      diventare giorni.Faresti gia' qualcosa di piu' profondo che ricreare la rete neurale di una formica, quindi va bene.
      Questo è un percorso casuale...
      e in un percorso metà casuale e metà guidato
      (come quello di cui parla l'articolo) che
      succederebbe?Che rischi di determinare in base a parametri sbagliati o a tuo gusto quello da selezionare piuttosto che lasciare il caso macinare stati dell'universo virtuale. Giocheremmo a fare quello che critichiamo da atei negli Dei altrui :D
      - "Per me ci si può arrivare..." Ecco, per te.Senz'altro, indicavo solo una mia opinione soggettiva.
      - "... fino a che non si trova una formula non
      solo per descrivere la realta' ma anche per
      predirla, l'impredicibilità implica una
      possibilità di libero arbitrio anche se tutto per
      l'ipotetico dio è già
      scritto."...
      Ad ogni modo: mai sentito parlare di modelli non
      deterministici? E di Heisenberg? L'idea di
      formula predittiva è abbandoanta, a meno che non
      intendi predizione con affiancata una certa
      probabilità. Determinismo ormai
      abbandonato.E' esattamente questo il problema. Un modello non deterministico basta a descrivere perfettamente un tipo che va un giorno in posizione A e l'altro giorno in posizione B. Solo che sta andando in pizzeria da esposito piuttosto che al vesuvio per suo "libero arbitrio". Senza predizione non puoi dir molto al guru indiano che asserisce che la coscienza esiste anche a livello di particelle. D'altra parte magari riusciamo a tornare al determinismo in un futuro remoto.
      - "In più finché non si scopre se altri piani di
      realtà influenzano il nostro non sappiamo se
      possono influenzare anche il nostro mondo
      virtuale"
      Un po' troppo speculativo... come dire "finché
      non so tutto, non posso dire
      niente"?E' come dire, conquistata una vetta se ne scorgono altre cinque ben piu' alte. Ma intanto quella vetta e' conquistata.
      - "La realtà è sogno, la realtà è ..." Espongo il
      punto di vista opposto. Della realtà non me ne
      frega niente, nella scienza. Mi interessa solo
      ciò che è rilevabile (anche indirettamente) della
      realtà.
      La materia oscura non è rilevabile direttamente,
      ma i suoi effetti gravitazionali si... per cui mi
      interessa.
      Viceversa, se esistesse una entità suprema che
      non ha mai interferito col nostro universo, una
      entità la cui esistenza non alteri il nostro
      universo... allora non
      esiste.
      Sarò ancora più preciso. Se tutto, qualunque
      interferenza, viaggia alla velocità della luce,
      allora le parti di universo che non possono
      interferire con noi non esistono. Se c'è stato un
      altro big bang, ma a causa del limite sulla
      velocità della luce, non ha interferito con il
      nostro universo... allora non
      esiste.
      E' solo una posizione estrema volutamente
      contrapposta al concetto di "matrix" da te
      esposto.Non la vedo contrapposta, la vedo coerente. Punzecchiavo chi è meno coerente.Il trascendente non esiste per definizione come ho detto pure io.Il creatore di un sistema di cellular automata non esiste dal punto di vista del sistema stesso e se consideriamo il sistema come astrazione della mente del creatore, egli non fa assolutamente parte di quella astrazione, assolutamente non esiste. Finche' le creature dicono "all'interno dell'universo non c'è alcun creatore", sono perfettamente corrette, anzi io dico che anche se vedessero "miracoli" non potrebbero dimostrare che non si tratti in realtà di insufficiente comprensione dei meccanismi che regolano il loro universo. Ma se dicono che "non esiste niente altro in grado di intervenire sul nostro universo" sbagliano perché la necessità di essere presenti in un livello di realtà per poterla influenzare è un'assunzione che come si vede non è valida neanche per i semidei, figuriamoci per eventuali dei.(continua)
      • anonymous scrive:
        Re: LUNGO:dall'autoconsapevolezza a.. p1

        - "...sistemi logici simili o dissimili al nostro
        ma internamente validi..." Una funzione (come un
        sistema logico) è definita (internamente) nel suo
        dominio. Chiedersi cosa fa una funzione al di
        fuori del dominio è metafisicaCentro, torniamo al problema della coerenza.
        - Un essere bidimenzionale che vive su di una
        sfera, ad un certo punto capirà che esiste la 3za
        dimensione a causa del fatto che i triangoli non
        hanno somma interna di 180°. Così come noi
        capiamo che lo spazio a causa della gravità si
        curva.Eh ma parli sempre di aspetti fisici. Se noi fossimo cellular automata, parleresti di scoprire le regole. Teoricamente ci si arriva ed il tuo e' un buon esempio perché come l'essere bidimensionale ha i suoi problemi a modellare la sfera, noi abbiamo problemi a modellare uno spazio tridimensionale ma curvo. Io pero' parlavo di andare oltre la scoperta delle regole (compito della scienza) e di scoprire dettagli dell'implementazione. Come se i cellular automata si rendessero conto di girare su una piattaforma intel piuttosto che powerpc. Come se un programma si rendesse conto di girare in una macchina virtuale che simula al 100% l'hardware di un pc piuttosto che nello stesso pc.
        Concludo dicendo il tuo discorso mi è piaciuto
        (forse più del mio)L'importante è tentare di essere coerenti non belli., ma che prefersico i discorsi
        meno citati e più esplicativi. Mentre non mi
        piacciono quelli che vogliono solo dire "E'
        talmente complicato che non si può dire
        niente".A me basta incasinare la vita a chi fa troppe assunzioni, non mi pare che sia il caso tuo.
        • anonymous scrive:
          Re: LUNGO:dall'autoconsapevolezza a.. p1


          - Un essere bidimenzionale che vive su di una

          sfera, ad un certo punto capirà che esiste la
          3za

          dimensione a causa del fatto che i triangoli non

          hanno somma interna di 180°. Così come noi

          capiamo che lo spazio a causa della gravità si

          curva.dimenticavo di ricordare che nel mio esempio l'essere bidimensionale vive in un mondo bidimensionale. E' come se vivessimo in un universo dove la geometria euclidea basti a modellare perfettamente lo spazio, e che qualcuno ci dicesse che un metauniverso presenta curvatura dello spazio. Potremmo fidarci o no ma comunque mai avere alcuna utilità nel ritenere l'asserzione valida o meno.
  • anonymous scrive:
    Re: LUNGO:dall'autoconsapevolezza a.. p1

    si è perso il significato. Se lo scienziato fa un
    backup dello stato della simulazione e lo sposta
    su altra infrastruttura, le creature non sono in
    grado di dirlo. Non sono neanche in grado di dire
    se sono ospitate da un "mac" o un "pc".Beh se le creature vedono le finestre pixelose allora sono su un pc
  • MrT. scrive:
    Il Linguaggio come mezzo per evolvere
    Ma siamo sicuri che senza un linguaggio di comunicazione(banalmente la capacità di parlare) l'uomo si sarebbe evoluto fino a questo punto? Immaginate come sarebbe "pensare" senza un linguaggio con cui farlo, semplicemente non ci riusciremmo. E' un aspetto che secondo me viene sempre trascurato quando si trattano questi argomenti.
    • UnNickAlGio rno scrive:
      Re: Il Linguaggio come mezzo per evolvere
      Non viene trascurato: la capacita di usare un linguaggio parte ovviamente prima dal saperlo capire e tantissimi sforzi vengono spesi nello svilupapre strumenti di comprensione del linguaggio, umano e non.Poi che li si etichetti AI o altro poco importa.
  • anonymous scrive:
    Re: LUNGO:dall'autoconsapevolezza a.. p1
    Un dio trascendente non esiste per definizione, un dio immanente esiste per definizione. Perche' "esistere" vuol dire appartenere al mondo, in un qualche insieme di dimensioni fisiche o altro. Non si può parlare del resto, definizioni estese sono illogiche. Filosoficamente parlando: il concetto di esistenza, (o unità, bontà) non è necessariamente definito nell'ambito della trascendenza. La domanda filosoficamente più corretta quindi è "Data la definizione di Dio come soggetto trascendente e di metaesistenza come arbitraria analogia nell'ambito trascendente dell'esistere sul piano immanente: Dio metaesiste o no, o entrambi, o qualcos'altro?". La risposta filosoficamente corretta è:"Andiamo a prenderci qualcosa da bere". Buone Feste.
    • sentinel scrive:
      Re: LUNGO:dall'autoconsapevolezza a.. p1
      Attualmente nessuna macchina può esprimere il seguenteconcetto:"Cogito ergo sum"Quindi l'Intelligenza Artificiale non è nient'altro che unafandonia, poiché sarebbe meglio studiare dapprima la stupiditànaturale prima di affrontarla.
  • SkyNet scrive:
    è solo questione di tempo...
    ...poi gli umani saranno obsoleti (cylon)
Chiudi i commenti