此外,PDF支持嵌入外部文件,如字体(TrueType,Type0,Type1,Type3等),图像(Jpeg2000,Jpeg,Png,Bmp,Tiff,Gif,Jbig2等),XML(XSLT等)。 这些文件的标准文件将不会被讨论在本文中2.2安全咨询
注意安全咨询是观察状况的好方法安全趋势。 最重要的是,我们可以知道其中存在的缺陷零件。 以下咨询是值得一读的。
零日倡议咨询[9] Zero Day Initiative’s Advisory
铬问题跟踪[10]Chromium Issue Tracker
[Adobe安全公告和建议[11]Adobe Security Bulletins and Advisories
2.3 Installation Files
文件名属性内部字符串,包括ASCII和Unicode字符串功能名称,包括内部符号和导出功能Copyrights information
例如,通过分析文件的属性,我们可以得出结论Adobe Reader的安装目录中的JP2KLib.dll负责解析JPEG2000图像。 下图显示了文件的属性页。
下表显示了Adobe Acrobat中部分文件的作用读者的安装目录。
2.4开源项目
找到攻击面的另一种方法是调查类似的开源项目。 PDFium是一个着名的开源PDF渲染引擎基于Foxit Reader的技术,并由Chromium的开发人员维护。事实上,我们可以在PDFium和Foxit Reader之间找到很多类似的代码比较PDFium的源代码和Foxit的反汇编代码读者。我们可以通过分析PDFium的源代码来尝试找到攻击面。 但对于PDFium,另一种方法是分析libFuzzer组件。目前,PDFium在“测试/ libfuzzer”目录中有19个官方的模糊器[12]。
下表显示了这些模糊器的详细信息
3. 测试样例测试用例
或种子文件在模糊过程中起着重要的作用。 对于基于传统突变的模糊器,更多的测试用例意味着更多可能的代码最终意味着更多可能发生的事故。 收集更多的测试在大多数情况下,写入爬虫的情况是可以接受的,但有一些替代方式。 在这里我总结了收集测试用例的两种可能的方法
3.1基于代码覆盖的模糊器测试用例
American fuzzy lop (a.k.a AFL)和libFuzzer是两个着名的代码覆盖基于模糊器。 对于AFL fuzzer,单个和小的测试用例足以驱动模糊过程。 对于libFuzzer,它通常会消耗最小的测试集案例作为输入数据,但即使没有任何初始测试用例,它仍然可以工作。这两个模糊器的共同特征是它们会产生大量的测试案例得到更高的代码覆盖率。 所以为什么不重用测试用例由AFL或libFuzzer生成? 为了达到这个目标,我们必须摸索开放源库或类似的,与AFL或libFuzzer。 下图显示此方法的过程。
###3.2开源项目测试套件收集测试用例的另一种方法是重用开源项目的测试套件。一般来说,流行的开放源码项目也保留了一个测试套件存储库包含大量有效和无效的文件。 一些测试用例可能会直接崩溃旧版本的二进制文件。 使用测试套件是个好主意作为模糊器的种子文件。 对于不经常使用的文件格式,它是均匀的很难从搜索引擎中抓取一些。 例如,很难收集
来自Google的一些JPEG2000图像,但是您可以从中获取数百个文件OpenJPEG [13]。 下表显示了一些可用的测试套件。
4beK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3k6r3k6A6N6h3#2Q4x3X3g2Y4L8$3!0Y4L8r3g2K6L8%4g2J5j5$3g2Q4x3X3g2U0L8$3#2Q4x3V1k6H3k6r3k6A6N6h3#2Q4y4h3k6@1k6i4y4@1M7#2)9J5c8R3`.`.
f89K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8%4A6A6L8r3I4S2i4K6u0r3M7r3c8X3i4K6u0W2K9Y4y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3N6r3g2K6N6q4)9J5c8Y4m8V1k6Y4x3`.211K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6#2j5$3I4G2N6i4k6S2K9h3&6Q4x3V1k6G2M7r3g2F1K9Y4m8W2k6#2)9J5k6r3c8S2N6r3p5`.
f27K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4L8$3!0Y4L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Y4k6i4c8Q4x3V1k6F1L8%4c8G2i4K6u0r34 测试技巧
效率是模糊者的重要指标,特别是计算时资源有限 在这里我总结了两个提高效率的模糊技巧
4.1 Write PDF makers
一般来说,PDF文件由纯文本和二进制数据组成。 它的如果你已经有了具体的目标,那么直接对PDF进行模糊处理就不是一个好主意作为图像,字体等。我们可以编写PDF制作者,以便我们只会突变我们感兴趣的数据有些第三方PDF制作者可以转换文件,如图像和字体,到PDF文件。 但是它不是推荐的解决方案,因为错误检查工具中的功能可能会导致许多格式错误的测试用例。在这种情况下,请阅读标准文件并撰写临时PDF制作人被推荐。 PDF制作者的技术细节将不会被讨论这篇文章不是一件艰巨的任务
4.2 Fuzz第三方库
大型软件使用开源库并不奇怪。 值得一试fuzz第三方库 揭示安全漏洞。 以下列表显示fuzz第三方库的优势。
使用AFL或libFuzzer的Fuzz开源库更有效率目标软件可能受到已知漏洞的影响零日漏洞影响使用库的所有目标软件下表显示了Adobe使用的一些开源项目
去年,我在libtiff发现了一个Out-of-Bounds写入漏洞PixarLogDecode功能并报告给Chromium。 帖子显示谷歌的Mathias Svensson也发现了这个漏洞[14]和思科Talos的Tyler Bohan [15]。 此漏洞的CVE标识符为CVE-2016-5875。 下表显示受此影响的PDF阅读器
对于Adobe Acrobat和Reader,渲染引擎没有受到影响在AcroForm.api中未配置PixarLog压缩支持。 对于Google Chrome,Canary,Dev和Beta版本的XFA已启用受影响(XFA已在Chrome Canary,Dev和Beta版本中启用并尽快停用)。 对于Foxit Reader,渲染引擎和ConvertToPDF插件受到影响。
4. 3 Write wrappers
PDF阅读器或Web浏览器是大型软件,创建了这些实例产品是耗时的,特别是一次又一次地创建实例在模糊过程中。 避免加载不必要的模块和初始化不必要的数据,写封包是一个不错的选择。对于开源项目,写一个包装很容易。 对于产品提供API,如Foxit Reader和Windows PDF Library,它也不是很难写一个包装。 但对于不符合上述要求的产品条件,我们可能需要做一些逆向工程工作来写一个包装。Windows.Data.PDF.dll负责在Edge浏览器中呈现PDF并自Windows 8.1起运行在操作系统中。 这个图书馆可以通过Windows运行时API进行交互。 帖子[16]显示如何使用C ++编写一个用于渲染PDF的包装器
5 Results
研究从2015年12月开始,主要关注Adobe Acrobat读者和大多数漏洞都在产品中被发现。 然而,这并不意味着产品比其他PDF更容易受到伤害读者。 去年,供应商修补了122个漏洞并分配了CVE。 应该指出,将排除一个漏洞如果满足以下条件之一。
不影响PDF阅读器稳定版本的漏洞供应商尚未修复的漏洞其他研究人员报告的脆弱性\下图显示了按供应商排序的漏洞分布
下图显示了按攻击面排列的漏洞分布
References
[1]. Document management - Portable document format - Part 1: PDF 1. 7,c79K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4V1L8$3u0W2i4K6u0W2j5$3!0E0i4K6u0r3j5$3!0F1N6r3g2F1N6q4)9J5c8X3c8S2L8g2)9J5c8V1q4V1L8$3u0W2i4K6u0r3k6h3&6Q4x3V1k6V1k6i4k6F1k6i4c8Q4x3V1k6S2j5%4u0G2j5X3q4@1i4K6u0r3M7r3c8X3M7#2)9J5c8W2m8p5c8U0x3J5x3o6l9H3i4K6g2X3x3U0l9H3z5q4)9J5k6i4m8V1k6R3`.`.
[2]. Dumb fuzzing XSLT engines in a smart way,5aaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6G2M7%4g2U0K9r3y4G2L8W2)9J5k6h3!0J5k6#2)9J5c8Y4c8S2L8r3E0K6i4K6u0r3x3U0l9I4x3#2)9J5c8V1b7I4i4K6g2X3x3o6c8Q4y4h3k6z5K9h3y4G2L8r3q4K6i4K6g2X3c8%4u0W2k6$3!0A6M7X3g2Q4y4h3k6j5f1@1I4f1i4K6g2X3c8Y4g2*7P5X3W2F1k6#2)9J5k6i4m8V1f
[3]. Abusing Adobe Reader’s JavaScript APIs,9d5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0k6h3c8A6j5g2)9J5k6h3c8W2k6X3y4G2L8W2)9J5k6h3!0J5k6#2)9J5c8V1c8q4c8W2)9J5y4e0t1H3b7@1!0z5i4K6t1#2x3U0l9J5x3#2)9J5c8V1c8q4c8W2)9J5y4e0t1H3b7@1!0z5i4K6t1#2x3U0l9J5x3#2)9J5y4e0t1H3M7s2u0W2M7$3g2F1N6r3q4@1K9h3!0F1M7#2)9J5c8V1c8q4c8V1y4a6e0W2)9J5k6o6t1K6i4K6u0V1d9l9`.`. ariri-Spelman-Gorenc-Abusing-Adobe-Readers-JavaScript-APIs.pdf
[4]. Abusing the Reader’s embedded XFA engine for reliable Exploitation,8fbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6P5i4y4U0j5h3^5K6y4U0m8Q4x3X3g2G2M7X3N6Q4x3V1k6K6L8r3W2V1k6i4y4Q4x3V1j5J5x3o6p5$3i4K6g2X3f1@1N6Q4y4h3k6e0k6h3u0S2M7%4c8A6j5h3&6Q4y4h3k6m8M7r3g2D9N6q4)9#2k6W2m8%4L8X3W2F1k6#2)9#2k6V1q4V1L8$3u0W2i4K6g2X3f1X3g2S2k6r3g2J5i4K6u0V1b7h3u0#2M7$3W2F1k6#2)9#2k6Y4c8Z5k6g2)9#2k6Y4u0W2j5h3c8W2M7Y4y4Q4y4h3k6W2L8h3u0W2k6r3c8W2k6q4)9#2k6W2S2r3b7g2)9#2k6X3g2F1k6$3W2F1k6g2)9#2k6X3k6G2M7W2)9#2k6Y4u0W2L8r3W2S2j5X3I4W2i4K6g2X3 Exploitation.pdf
[5]. ISO 32000-1:2008,a7fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2A6M7$3!0Q4x3X3g2G2M7X3N6Q4x3V1k6K6N6r3q4F1k6r3q4J5k6q4)9J5c8U0f1I4y4e0l9J5i4K6u0W2K9s2c8E0L8l9`.`.
[6]. JavaScript for Acrobat API Reference,053K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3q4V1L8$3u0W2i4K6u0W2j5$3!0E0i4K6u0r3j5$3!0F1N6r3g2F1N6q4)9J5c8X3c8S2L8g2)9J5c8V1q4V1L8$3u0W2i4K6u0r3k6h3&6Q4x3V1k6V1k6i4k6F1k6i4c8Q4x3V1k6S2j5%4u0G2j5X3q4@1i4K6u0r3M7r3c8X3M7#2)9J5c8X3A6K6i4K6g2X3j5i4m8A6i4K6g2X3M7X3g2X3k6i4u0W2L8X3y4W2i4K6u0W2M7r3c8X3
[7]. XML Forms Architecture (XFA) Specification,ea5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4A6N6r3g2K6k6h3g2J5P5q4)9J5k6h3W2K6N6q4)9J5k6i4m8K6N6g2)9J5k6h3g2V1N6g2)9J5c8Y4k6A6k6i4N6V1L8$3y4Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9K6c8X3c8G2K9g2)9K6c8o6p5H3i4K6u0W2x3g2)9J5k6e0q4Q4x3X3f1K6y4U0c8Q4x3X3f1J5x3e0f1%4i4K6t1$3j5h3#2H3i4K6y4n7M7X3g2H3i4K6y4p5M7X3g2H3x3g2)9J5y4X3q4E0M7q4)9K6b7Y4c8&6M7r3g2Q4x3@1c8H3k6r3j5`.
[8]. FormCalc User Reference,dd2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2W2L8s2m8Q4x3X3g2S2k6r3!0T1k6g2)9J5k6h3y4G2L8g2)9J5c8X3g2F1i4K6g2X3g2g2y4Q4x3V1k6D9K9i4k6W2j5%4W2U0L8r3g2Q4x3V1k6W2M7#2)9J5c8V1k6G2M7X3#2o6j5h3I4U0i4K6u0W2M7r3c8X3
[9]. Zero Day Initiative’s published advisories,b04K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4A6W2M7X3!0V1j5i4W2A6L8X3W2@1K9h3q4@1K9i4k6W2i4K6u0W2j5$3!0E0i4K6u0r3j5h3c8$3K9i4y4G2M7X3W2W2M7#2)9J5c8Y4m8#2j5X3I4A6M7$3S2W2k6q4)9J5c8R3`.`.
[10]. Chromium issue tracker,30cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1N6h3N6K6i4K6u0W2j5$3S2J5L8$3#2A6N6h3#2Q4x3X3g2G2M7X3N6Q4x3V1k6H3i4K6u0r3j5$3S2J5L8$3#2A6N6h3#2Q4x3V1k6A6M7%4y4#2k6i4y4Q4x3V1k6D9K9i4y4@1i4K6y4r3j5$3q4F1i4K6y4p5x3g2)9J5y4X3q4E0M7q4)9K6b7Y4q4Q4x3@1c8f1P5i4m8W2i4K6y4p5i4K6t1#2x3U0u0n7N6h3N6Q4x3X3c8e0k6h3y4#2M7X3W2@1P5g2)9J5y4e0t1J5i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`.
[11]. Adobe Security Bulletins and Advisories,65aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6h3I4H3P5q4)9J5k6h3q4V1L8$3u0W2i4K6u0W2j5$3!0E0i4K6u0r3M7$3g2U0N6i4u0A6N6s2W2Q4x3X3g2Z5N6r3#2D9i4K6t1K6j5h3y4J5L8$3u0S2N6l9`.`.
[12]. Official fuzzers for PDFium,6f6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3k6r3k6A6N6h3#2Q4x3X3g2Y4L8$3!0Y4L8r3g2K6L8%4g2J5j5$3g2Q4x3X3g2U0L8$3#2Q4x3V1k6H3k6r3k6A6N6h3#2Q4x3V1k6Q4x3V1u0Q4x3V1k6J5k6h3k6K6i4K6u0r3K9r3g2S2k6s2y4Q4x3V1k6E0j5i4y4@1k6i4u0Q4x3V1k6@1k6i4y4@1K9h3&6Y4i4K6u0r3L8r3W2T1k6Y4g2*7P5X3g2J5i4K6u0r3
[13]. OpenJPEG data,c19K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6#2j5$3I4G2N6i4k6S2K9h3&6Q4x3V1k6G2M7r3g2F1K9Y4m8W2k6#2)9J5k6r3c8S2N6r3p5`.
[14]. Seclists,1cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5$3I4A6M7%4c8K6i4K6u0W2L8%4u0Y4i4K6u0r3L8%4y4K6i4K6u0V1M7$3g2U0i4K6u0r3x3U0l9I4y4W2)9J5c8Y4p5J5i4K6u0r3y4U0t1K6
[15]. LibTIFF Issues Lead To Code Execution,f23K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2@1j5h3I4G2M7$3W2F1N6r3g2D9L8r3W2Y4k6h3&6U0k6g2)9J5k6h3y4G2L8g2)9J5c8U0t1H3x3e0k6Q4x3V1j5I4x3q4)9J5c8V1I4A6j5W2c8u0c8V1k6Q4x3X3c8o6L8$3c8W2i4K6u0V1c8i4S2W2j5%4g2@1K9h3!0F1i4K6u0W2K9s2c8E0L8l9`.`.
[16]. Using WinRT API to render PDF,1dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8W2N6W2)9J5k6h3q4U0N6r3W2$3k6h3u0S2M7$3W2U0i4K6u0W2j5$3!0E0i4K6u0r3k6h3N6@1M7X3q4Q4x3V1j5J5x3o6p5#2i4K6u0r3x3e0u0Q4x3V1j5J5y4q4)9J5c8U0R3#2x3#2)9J5c8W2)9J5y4X3&6T1M7%4m8Q4x3@1t1`.
