I file PDF possono contenere JavaScript dannoso, azioni aperte e amp; ecc. Ma che dire dei file djvu ? Se djvu può essere dannoso, quindi come rilevare manualmente (senza aprire il file dannoso, ovviamente)?
I file PDF possono contenere JavaScript dannoso, azioni aperte e amp; ecc. Ma che dire dei file djvu ? Se djvu può essere dannoso, quindi come rilevare manualmente (senza aprire il file dannoso, ovviamente)?
Sì, un file DjVu può essere pericoloso. Mentre, come altri hanno menzionato, è stato progettato per non avere alcun codice eseguibile, una vulnerabilità in un parser DjVu può essere utilizzata per sfruttare il visualizzatore. Molti spettatori utilizzano la stessa libreria, creando una vulnerabilità in una singola libreria rilevante per un gran numero di utenti. Un esempio storico è CVE-2012-6535 , che ha interessato il popolare Libreria DjVuLibre, utilizzata da molti visualizzatori di documenti. La vulnerabilità, riportata da Microsoft , era un bug di corruzione della memoria che consentito per l'esecuzione del codice. La pagina dei dettagli CVE fornisce alcune informazioni generali sul suo impatto:
DjVuLibre before 3.5.25.3, as used in Evince, Sumatra PDF Reader, VuDroid, and other products, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted DjVu (aka .djv) file.
Purtroppo, non è possibile rilevare manualmente un file dannoso di questo tipo. Non contengono necessariamente segni rivelatori come script integrati visibili o stringhe sospette e l'antivirus raramente sarà in grado di rilevarli. Di fatto, di solito saltano i file che non sono eseguibili.
Questo non è affatto specifico per DjVu. È possibile sfruttare qualsiasi formato di file, anche non previsto . Il modo migliore per ridurre il rischio di sfruttamento è assicurarsi che tutto il software sia aggiornato, quindi tutte le vulnerabilità scoperte vengono prontamente riparate prima che possano essere sfruttate in modo esteso.
In base alla progettazione, un file djvu non può contenere codice o script eseguibili. Tuttavia, è possibile che un utente malintenzionato fornisca un file appositamente manipolato che normalmente farà bloccare il visualizzatore. Invece di crash, se la protezione dei bit di esecuzione dei dati è disattivata, è possibile eseguire il codice nello spazio utente dell'utente. Questo è un attacco difficile, data la varietà di spettatori djvu, l'attacco di solito è specifico per una versione di un visualizzatore.
Qualsiasi file può essere dannoso. È difficile rilevarlo manualmente poiché l'unica cosa che può contenere è lo shellcode. Puoi eseguire il comando unix strings su di esso per vedere se contiene URL dannosi o altre stringhe sospette come i percorsi dei file di Windows.
Per ridurre le possibilità di sfruttamento, non aprire questo file nei browser Web né nella suite Microsoft Office.
Leggi altre domande sui tag malware