Trick skjuler farlige PDF-filer

Artiklen blev oprindeligt publiceret den 20/6/2012

Antivirusprogrammer er dårlige til at opdage trusler gemt i PDF-filer, der er behandlet på en særlig måde.

Flere sikkerhedsforskere har opdaget, at antivirusprogrammer generelt er dårlige til at tjekke en særlige type PDF-filer. Det er PDF-filer, der er konverteret til formatet XDP (XML Data Package). Som navnet siger, er XDP en XML-baseret udgave af PDF.

Sikkerhedsforsker Brandon Dixon har prøvet at tage et PDF-dokument, der udnytter en gammel sårbarhed i Adobe Reader til at køre programkode. Efter han konverterede det til XDP, fangede ingen ud af 42 antivirusprogrammer truslen.

Problemet har været kendt siden starten af 2011, alligevel er antivirusprodukterne ikke blevet bedre til at behandle XDP-filer.

Anbefaling
Hold programmer til læsning af PDF-filer opdateret, så gamle sårbarheder ikke kan udnyttes, selvom filer konverteres til XDP.

Links

• AV Bypass for Malicious PDFs Using XDP, blogindlæg af Brandon Dixon
• Evading AVs using the XML Data Package (XDP) format, blogindlæg af Alexander Klink