近日,德国软件开发商HannoBöck称,一个早在2011年就被发现的PDF解析库中的隐蔽bug,如今在大多数主流的PDF阅读器中再次出现。
该bug最初是由德国软件开发商Andreas Bogk,在Evince(GNOME桌面环境下的一个PDF,PostScript,DjVu,TIFF与DVI文档查看工具)的解析器组件中被发现的,当时Andreas Bogk还协助Evince修复了该漏洞,并在2011年的混沌通信大会上展示了该漏洞。
Bogk发现具有特定结构的PDF文档(PDF文件交叉引用内部参照表)会导致Evince应用程序进入一个死循环,并占用本地所有的CPU资源,迅速耗尽内存,从而使Evince应用程序崩溃。
这个bug被大多数人所忽略,人们从未将它视为一个主要的安全问题,认为这只是一个安装在Linux桌面上的小应用程序。
六年前的bug在主流的PDF阅读器中重现
六年后的今天,曾经被人们忽视的小问题,如今却转变成了一个大问题。Böck表示,已经在众多知名的PDF阅读器中发现了类似的问题。
例如,Böck在PDFium中发现了Bogk当时报告的“loop”bug,该库允许Chrome无需任何插件就可以在浏览器中,渲染PDF文档。
Firefox中的pdf.js库也受到影响。此外,Pdf.js库还被用在了GitHub上,用于在网站界面渲染PDF文档,而无需用户下载文件并在第三方应用程序中查看。因此,GitHub的实现也极易受到“loop”bug的影响。
在Windows 8或更高版本中默认安装的Windows Runtime PDF Renderer库或WinRT PDF也受此影响。这是Edge内置的PDF查看器,也是Windows“Reader App”的默认PDF解析器。
类似地,开源PDF解析器(如Ghostscript和QPDF)同样也受到了影响。这也意味着许多其他已经安装部署Ghostscript或QPDF的web和桌面,都将受到该漏洞的影响。
Böck已向所有受影响的产品厂商报告了旧的错误信息,他们正准备为此推出补丁程序。
Adobe Reader未受影响
Adobe Reader和Apple的OS X内置PDF查看器并未受到影响。
研究人员说,他主要是通过Fuzzing技术来对每个项目库进行测试后发现问题的。Fuzzing是一种基本的安全测试技术,用于测试人员分析程序的异常输出响应。Google的安全专家非常热衷于该技术,并极力向任何有兴趣倾听他们建议的人推荐该技术。
Böck指责受影响项目的管理员,没有运行更新的测试套件。软件开发人员不应该在没有成功通过测试套件的情况下,发布新版本的应用程序。Böck同时还建议PDF应用程序,将Bogk“loop bug”演示文件添加到他们的测试用例中。
END
来源于bleepingcomputer
secist 编译,转载请注明来自 FreeBuf.COM
深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。
