回覆列表
  • 1 # cnBeta

    正如你所預期的,PDF文件加密功能在商業領域被廣泛使用,它通常用於保護商業秘密,機密影象以及健康記錄。甚至為了提高安全性,有些企業會以加密PDF附件的形式來發送電子郵件。

    通常來說PDF加密方式被認為是安全的,不過來自波鴻魯爾大學和芒斯特大學的研究人員近日發現了可移植文件格式(PDF)加密標準中存在“嚴重漏洞”,能夠讓攻擊者捕獲明文。換句話說,研究人員發現可以在沒有必需的加密金鑰的情況下獲取加密PDF的內容。

    研究人員將這些漏洞稱之為“PDFex”,主要特徵包括

    ● 即使不知道相應的密碼,攻擊者對已經加密的PDF檔案進行處理之後也能獲得部分檔案內容。

    ● 更準確地說,PDF規範允許將密文與明文混合。結合允許透過HTTP載入外部資源的其他PDF功能,一旦受害者開啟檔案,攻擊者就可以進行直接滲透攻擊。

    ● PDF加密使用密碼塊連結(CBC)加密模式,不進行完整性檢查,這意味著密文可延展性。

    ● 這使我們能夠使用CBC延展性小工具建立自解譯密文部分。我們不僅使用這種技術來修改現有的純文字,而且還要構造全新的加密物件。

    在測試中,研究人員確定了兩種符合標準的攻擊,它們可以破壞加密的PDF檔案的機密性。測試27個頂級PDF檢視器時,所有人都容易受到至少一種攻擊的攻擊,包括Foxit Reader,Adobe Acrobat,Chrome和Firefox等軟體。

    研究人員得出結論,這些問題必須在將來的PDF規範中解決,並將在下個月的ACM計算機和通訊安全會議上發表他們的發現。

  • 中秋節和大豐收的關聯?
  • 阿爾卑斯棒棒糖高階牛奶味的含義?