Belg ontdekt 'onpatchbare' pdf-hack

Normaal gesproken laten readers niet toe dat executables in een pdf-bestand worden uitgevoerd. Maar Didier Stevens heeft nu op zijn blog een pfd online gezet waarmee iedereen zelf kan nagaan of de hack werkt. Als het bestand in Adobe Reader wordt geopend, dan krijgt de gebruiker een waarschuwing. Maar dit soort waarschuwingen wordt regelmatig genegeerd als het bestand van een bekende afkomstig is. Bovendien kan de waarschuwing worden gemanipuleerd, aldus Stevens. Opmerkelijk is dat Foxit Reader helemaal geen waarschuwing geeft.

In de pdf die Stevens online heeft gezet wordt geen kwetsbaarheid van Windows geëxploiteerd, maar alleen cmd.exe uitgevoerd. Direct nadat je de pdf hebt geopend wordt dus de commandline gestart, als bewijs dat het inderdaad concept werkt.

Stevens merkt ook nog op dat het geen zin heeft om JavaScript uit te zetten, omdat hij dat niet gebruikt bij de hack. Ook stelt hij dat het niet mogelijk is om Adobe Reader te patchen, omdat hij geen gebruik maakt van een kwetsbaarheid. Hij is alleen creatief is met de pdf taal-specificaties.

In de comments merkt Christoph Smees op dat PDF-XChange Viewer het commando niet uitvoert.