[图]PDF加密协议发现严重漏洞 无需密码可获取明文内容

来源:CNBETA  责任编辑:小易  

正如你所预期的,PDF文档加密功能在商业领域被广泛使用,它通常用于保护商业秘密,机密图像以及健康记录。甚至为了提高安全性,有些企业会以加密PDF附件的形式来发送电子邮件。

通常来说PDF加密方式被认为是安全的,不过来自波鸿鲁尔大学和芒斯特大学的研究人员近日发现了可移植文档格式(PDF)加密标准中存在“严重漏洞”,能够让攻击者捕获明文。换句话说,研究人员发现可以在没有必需的加密密钥的情况下获取加密PDF的内容。

研究人员将这些漏洞称之为“PDFex”,主要特征包括

● 即使不知道相应的密码,攻击者对已经加密的PDF文件进行处理之后也能获得部分文件内容。

● 更准确地说,PDF规范允许将密文与明文混合。结合允许通过HTTP加载外部资源的其他PDF功能,一旦受害者打开文件,攻击者就可以进行直接渗透攻击。

● PDF加密使用密码块链接(CBC)加密模式,不进行完整性检查,这意味着密文可延展性。

● 这使我们能够使用CBC延展性小工具创建自解译密文部分。我们不仅使用这种技术来修改现有的纯文本,而且还要构造全新的加密对象。

在测试中,研究人员确定了两种符合标准的攻击,它们可以破坏加密的PDF文件的机密性。测试27个顶级PDF查看器时,所有人都容易受到至少一种攻击的攻击,包括Foxit Reader,Adobe Acrobat,Chrome和Firefox等软件。

研究人员得出结论,这些问题必须在将来的PDF规范中解决,并将在下个月的ACM计算机和通信安全会议上发表他们的发现。


  • 本文相关:
  • 站长必读,如何真正写好一篇原创文章
  • 互联网之路细嗅蔷薇 资深站长分享掘金之道
  • 企业站的站长的工作重心究竟有哪些
  • 浅析:行业门户网站的一些盈利模式
  • 3000IP的企业网站每天订单不到30个的苦恼
  • 网站想内外兼修?先学习提高网站可用性的6大原则
  • 浅谈网页设计中的简约之美
  • 网页改版实战:日本设计师如何彻底优化旅游网站?
  • 网页改版实战!日本设计师如何彻底优化招聘网站?
  • 2015年值得关注的21个网页设计趋势
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved