PDF pode carregar código malicioso sem precisar de brecha, diz pesquisador
Notícias Relacionadas
Um pesquisador de segurança descobriu uma forma de rodar código arbitrário em PCs com Windows, bastando embuti-lo em um arquivo PDF malicioso.
O código entrará em ação na hora em que o arquivo for visualizado por duas aplicações PDF populares: o Adobe Reader e o Foxit.
O descobridor da falha diz que não explora nenhuma vulnerabilidade de software e sim os recursos oferecidos pela plataforma.
Em seu blog, o pesquisador belga Didier Stevens reconheceu que os leitores da Adobe e da Foxit não permitem a execução direta de executáveis embutidos. Mas ele descobriu um modo de fazê-los rodar, usando um comando 'launch' diferente.
Alerta alterado
Ao abrir um documento que contém um executável, o Adobe Reader avisa, mediante alerta na tela, que disparar códigos pode causar danos ao computador.
Mas Stevens conseguiu mudar parte da mensagem, sugerindo que a mudança poderia persuadir usuários a abrir o executável.
O leitor Foxit não mostra qualquer aviso e a primeira versão do código invasor não rodou "por causa de alguma variação no suporte à linguagem PDF", escreveu Stevens.
Mas na quarta-feira (31/3) Stevens já tinha consertado esse problema, e o Foxit passou a executar o código na hora em que o documento foi aberto.
Em resposta, a Adobe e a Foxit Software disseram nesta quinta-feira (1/4) que estão investigando essa possibilidade de ataque. Mas apenas a Foxit prometeu atacar o problema.
Funcionalidade
Apesar de a Adobe reconhecer ter tido conhecimento da pesquisa de Stevens, ela não se comprometeu a fazer qualquer mudança no Reader. "A demonstração de Stevens baseia-se em funcionalidades definidas na especificação PDF", afirmou.
Stevens disse que realmente seria impossível, para a Adobe, corrigir o problema. "Consertar o Reader não é possível, já que não exploro uma vulnerabilidade. Apenas faço uso criativo das especificações da linguagem PDF", afirmou em seu blog.
A Foxit, por sua vez, disse que lançaria uma correção ao Reader na sexta-feira (2/4), mas não explicou o que fará. A nova versão será publicada no site da empresa, disse Erik Bryant, vice-presidente assistente da Foxit, por e-mail.
