研究人員在PDF規(guī)范中發(fā)現(xiàn)了2個安全漏洞，攻擊者利用該漏洞可以修改PDF文件的內(nèi)容而不被PDF軟件和用戶發(fā)現(xiàn)，漏洞影響超過24款PDF軟件。

PDF規(guī)范中定義了2種類型的數(shù)字簽名：批準(zhǔn)簽名(Approval signature)和認證簽名(Certification Signatures)。批準(zhǔn)簽名是證實特定的文檔狀態(tài)。規(guī)范中允許對同一文檔使用多個簽名。對簽名過的文檔的其他變化都會引發(fā)批準(zhǔn)簽名的無效和告警。認證簽名是一種處理數(shù)字簽名的文檔的靈活機制。在文檔認證過程中，文檔所有者會定義一個允許修改的列表，這些允許修改的操作不會引發(fā)文檔認證簽名的無效。允許的操作包括寫入特定表單、加入批注簽名等。因為認證簽名會對整個文檔設(shè)置權(quán)限，PDF文檔中只允許認證的簽名。認證簽名必須是PDF中的第一個簽名。

研究人員分析認證過的文檔的修改時發(fā)現(xiàn)了PDF規(guī)范中的2個漏洞，分別是 Evil Annotation Attack(EAA，惡意注釋攻擊)和 Sneaky Signature Attack(秘密簽名攻擊)。

添加注釋來修改文件內(nèi)容

攻擊者利用這2個漏洞可以通過在經(jīng)過認證的內(nèi)容之上展示惡意內(nèi)容來修改PDF文檔的可見內(nèi)容。攻擊過程中，認證仍然是有效的，PDF閱讀器也不會展示任何告警消息。

研究人員對26個PDF應(yīng)用進行了測試，發(fā)現(xiàn)其中24個PDF應(yīng)用受到該攻擊的影響。隨后，研究人員分析了PDF規(guī)范中定義的添加批注和簽名的權(quán)限實現(xiàn)，發(fā)現(xiàn)11個應(yīng)用存在權(quán)限匹配錯誤的問題。

相關(guān)研究人員已經(jīng)被安全頂會IEEE S&P'21錄用，論文下載參見：

https://PDF-insecurity.org/download/PDF-certification/paper.PDF

更多關(guān)于PDF認證攻擊的技術(shù)細節(jié)參見：https://PDF-insecurity.org/signature/certification.html

本文翻譯自：https://PDF-insecurity.org/