Ongeopende PDF bestanden kunnen uw computer toch besmetten
Posted by Godert Jan van Manen | Posted in Nieuwsberichten | Posted on 05-03-2009
Tags: Adobe, Microsoft, vulnerability, Windows Explorer Shell Extensie, Zero-Day
0
Ik heb u al eerder HIER en HIER gewaarschuwd voor de gevoeligheden in Adobe’s Acrobat Reader. Nu heeft de Belgische beveiligingsonderzoeker Didier Stevens een manier gevonden om, door gebruik te maken van de Windows Explorer Shell Extensie, de kwetsbaarheden te misbruiken ZONDER dat u de gevaarlijke PDF bestanden hoeft te openen.
Wie bijvoorbeeld WinZip installeert krijgt via de rechtermuisknop allerlei extra opties, zoals het uitpakken of inpakken van een bestand. In het geval van Adobe Acrobat Reader wordt de Column Handler Shell Extensie geïnstalleerd.
Een column handler is een ‘speciaal programma’ dat Windows Explorer extra gegevens van ondersteunde bestanden laat weergeven. In het geval van PDF documenten opent de PDF column handler het document om de benodigde informatie te vinden, zoals de titel en auteur. Zonder dat de gebruiker het bestand opent, wordt de inhoud toch door Windows Explorer gelezen.
Hierbij zijn er drie manieren om malware uit te laten voeren:
1: De gebruiker selecteert het bestand (dus éénmaal klikken, niet openen).
2: Windows explorer met Thumbnails view.
3: Met de muiscursor boven het bestand gaan staan (niet klikken) tot de tooltip verschijnt.
