-
關於PDF JBIG2漏洞零時差攻擊
-
Adobe Reader及Acrobat最近傳出有漏洞(Adobe也已證實),同時已經有人利用此漏洞製作出黑心PDF檔,算是標準的零時差攻擊(漏洞發布的同時,病毒/木馬程式跟著一起上市)。
使用Acrobat或Adobe Reader開啟黑心PDF檔時,其中包藏的惡意程式會利用類似溢位攻擊的方式取得控制權,進而執行夾帶的程式碼下載木馬及幹些見不得人的勾當。
先前的認知是這波攻擊要透過Javascript才能生效,因此停用Javascript應具備阻擋攻擊的效果。很不幸地,既然是溢位攻擊,能搞的名堂可多了,幾乎可以為所欲為,已經有人研發出就算PDF停用Javascript也能發動攻擊的版本,大家可別覺得停用PDF Javascript功能就可以高枕無憂。
依Adobe的說法,Acrobat及Acrobat Reader 9要3/11才會釋出修正版,7,8版更要等到3/18,在此之前,大家最好避免開啟來路不明的PDF檔案。再不然考慮用非Adobe的PDF Reader,例如: FoxIt、XChange。
【延伸閱讀】
-
x64: 找不到MSDAORA Provider
-
在Windows 2008 x64上使用Query Express,選擇Mcirosoft Oracle driver時,出現以下錯誤訊息:
Unable to connect: The 'MSDAORA' provider is not registered on the local machine.
前往Google大廟參拜,得到的結論懷疑因程式預設以x64模式執行,試圖讀取x64版本OLE DB Driver時失敗(沒安裝或該Driver根本沒出x64版)。網上建議的解決方法多半是重Build Project,將Target由Any CPU改為x86。
雖然手上在用的QueryExpress是自己修改過的版本,要重Build不是難事。但我不禁在在想,如果手上只有exe沒有Source Code? 就只能攤手嗎?
再做了一下功課,發現有個工具corflags可以透過修改執行檔檔頭(CLR Header)的方式達到類似的效果。開啟Visual Studio 2008 Command Prompt(裡面有額外設定PATH,才能找到.NET SDK的工具檔),先用corflags QueryExpress.exe看設定,再用corflags /32BIT+ QueryExpress.exe,標註強迫在WoW64下以x86方式執行。
C:\QueryExpress>corflags QueryExpress.exe
Microsoft (R) .NET Framework CorFlags Conversion Tool. Version 3.5.21022.8
Copyright (c) Microsoft Corporation. All rights reserved.
Version : v2.0.50727
CLR Header: 2.5
PE : PE32
CorFlags : 1
ILONLY : 1
32BIT : 0
Signed : 0
C:\QueryExpress>corflags /32BIT+ QueryExpress.exe
Microsoft (R) .NET Framework CorFlags Conversion Tool. Version 3.5.21022.8
Copyright (c) Microsoft Corporation. All rights reserved.
改過設定後再跑一次,這回就可以順利執行了。