▶ PDF 파일 오픈시 보안위협
최근 Adobe Reader, Foxit Reader 등에서 PDF 파일을 열어볼 경우 임의의 코드를 실행시킬 수 있는 보안위협이 발견되었습니다. 이것은 PDF Reader 프로그램의 정상적인 기능을 이용한 것입니다. 향후 악용될 소지가 많으므로 사용자의 주의가 필요합니다.
▶ 정상적인 기능이 왜 보안위협이 되는가?
PDF 문서 규격에서 정의하는 기능을 이용해 특정 실행코드가 실행되는 PDF 문서를 작성할 수 있음. 이 문서를 열어볼 경우 경고창이 뜨며, 확인(OK) 버튼을 클릭할 경우 해당 실행코드가 실행됩니다. 사회적인 이슈가되는 내용의 문서에 악성코드를 포함시켜 이메일이나 웹를 통해 배포할 가능성이 많아 보입니다.
– PDF Reader의 /Launch /Action 명령어 등을 사용하였으며, Javascript 기능을 해제한 후에도 동작함
– 경고창에 확인 버튼을 클릭하도록 유도하는 문구를 삽입할 수 있음
▶ 연관되는 프로그램
Adobe Reader, Foxit Reader 등 대부분의 PDF Reader 프로그램
– Adobe Reader의 경우 실행코드 실행 전 경고창이 뜸
– Foxit Reader의 경우 경고창 없이 실행코드가 실행되었으나, 최근 Foxit Reader 3.2.1.0401로 업데이트된 후에는 경고창이 뜸
– 기타 PDF Reader들도 해당될 수 있음
▶ 사용자 주의사항
1. 출처가 불분명한 PDF파일은 열어보지 말고 경고창이 뜰경우 주의하세요
출처가 불분명한 PDF 파일의 경우 열어보는 것을 자제하고, 경고창이 뜰 경우 경고 내용을 파악하는 등의 사용자 주의 필요합니다. 이 보안위협은 PDF의 정상적인 기능을 이용하는 것이므로 최신 업데이트를 설치했다고 해서 사라지는 위협은 아니기 때문입니다.
2. 사용하는 PDF Reader의 최신 보안업데이트 설치
PDF Reader 버전에 따라 경고창없이 바로 실행코드가 실행될 수 있으므로 최신으로 업데이트가 필요합니다.
화면캡춰가 포함된 영문문서: http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
아래는 위 영문문서에서 링크시켜둔 PDF오픈시 실행파일이 어떻게 실행되는지 보여주는 동영상입니다.
Tags: PDF취약성
