黑客可以利用黑白灰度级图片的形式把恶意代码隐藏在PDF文档中,并躲开防病毒程序的检测,然后在文档阅读器打开这个PDF文档时,恶意代码得以执行。
丹麦的一位安全人员发现,通过有损图片压缩软件,如JPXDecode或DCTDecode,可以把恶意代码嵌入到PDF文档中,而防病毒软件或PDF验证工具通常会忽略这些压缩工具压缩的数据。
有损压缩只对图片有效,对代码无效,因此安全软件会认为有损压缩后的数据无法包含恶意代码。但这名丹麦的研究人员奥瓦里已经证明,用有损压缩软件压缩的JPEG图片可以隐藏恶意代码,而且彩色的JPEG图片的确会丢失数据破坏代码,但高质量的灰度级黑白JPEG图片则可成功避免代码损失。
奥瓦里已经开发出一个概念性验证程序,并把一段JavaScript代码以灰度级图片的形式嵌入到一个PDF文档中,并确保在文档被打开时执行代码。
安全牛评:尽管这本身算不上文档产品的安全缺陷,但使用DCTDecode的这种恶意使用方法却不应该被业界所忽略。为了***程度的保证用户安全,PDF阅读器应该禁止类似的二进制数据对象,并且对其他JPEG图片中的数据格式进行重新检测。
