web-dev-qa-db-ja.com

PDFで検出されたウイルス-心配する必要がありますか(CVE-2014-8449)?

以前にPDFをダウンロードし、それを友達に送信しようとしましたが、Gmailはウイルスを検出したと言っています。それで、私はvirustotal.comで実行し、56個のスキャナーのうち1個だけがウイルスに感染しました-ClamAVは "PDF.Exploit.CVE_2014_8449"を返しました。他の55のスキャナーは何も思いつきませんでした。私が調べたところ CVE_2014_8449 であり、「WindowsおよびOS X上のAdobe ReaderおよびAcrobat 10.x以前の10.1.13および11.x以前の11.0.10における整数オーバーフローにより、攻撃者は任意のコードを実行できます。不特定のベクトル」。これが何を意味するのかわかりません。56スキャナーのうち1つだけがこれを見つけたとしても、これについて心配する必要がありますか?これが実際の問題であるかどうかはどうすればわかりますか?私はpdfを取り除くべきですか?

ありがとうございました!

5
Sehejen

CVE-2014-8449「WindowsおよびOS X上のAdobe ReaderおよびAcrobat 10.x以前の10.1.13および11.x以前の11.0.10での整数オーバーフローにより、攻撃者は不特定のベクトルを介して任意のコードを実行できる」

これは、Adobe Acrobat Readerで開いたときに(これらのバージョンよりも古い、バグを修正したときに)攻撃者が悪意のあるコード(より高度なウイルスをダウンロードして実行するなど)を実行できる悪意のあるPDFを提供することが可能だったことを意味します。

そう、それが心配される理由です。誤検知の可能性はありますか?多分。そのルールの確実性はわかりません。私は確かにそのようなファイルを脆弱なバージョンで開かないでしょう(私がウイルスを引き起こそうとしていなかった場合を除く)。

私はpdfを取り除くべきですか?

恐らく。 PDFはどこから入手できますか?

7
Ángel

Acrobatの整数オーバーフローが別のビューアで発生することはほとんどありません。 VMWare Playerをインストールし、最新のDebian/Ubuntu/LinuxディストリビューションをVMにインストールし、ネットワークアクセスを無効にしてVMを起動し、PDFファイルを開いて Evince 、それをPostScriptに出力し、PostScriptをPDFに変換します。

次に、結果のファイルをVirusTotalで確認します。 Ross Ridge からの次のアドバイスを検討してください。

PDFからPostScriptへの変換プロセスとPDFへの変換プロセスが整数オーバーフローの悪用を維持しないことは確かではありません 1つは実際にドキュメントに存在します)。 PDFはPostScriptへの変換を簡単にするように設計されており、エクスプロイトはPostScriptを直接変換します。 互換性のある表現で、最初に表現されたのとまったく同じ方法でない場合、エクスプロイトは最終的にPDFに変換される可能性があります。

(強調鉱山-D.H.)

編集:変換後のチェックが失敗した場合は、VM内からスクリーンショットを携帯電話で撮って、友人に送信します。時間になる paranoid ...

ただし、ファイルのオリジンに自信がなく、そこに含まれる情報がそのままでは、フォーマットを含めて友達に送信するのに十分な価値がない場合は、友情を台無しにする危険を冒すのではなく、単にファイルをダンプします。

3
Deer Hunter

CVEを分析しているときに探すべき重要なことは、まずソフトウェアが影響を受けるものとしてリストされているかどうかを判断することです。お使いのソフトウェアに脆弱性がない場合でも、友人が実際に脆弱であり、故意に悪意のあるファイルを共有することに対する法的責任がある可能性があるため、必ずしもファイルを共有する必要はありません。

ここでは、ファイルの古さも重要な要素になります。 PDFが5年前に作成され、最近ダウンロードした場合、ClamAVの結果は誤検出です。この特定のCVEはほんの数か月前のものであり、それよりもPDF古くなっている場合は、超犯罪者または誤検知のいずれかを扱っています。

影響を受けておらず、ファイルが数日しか経過していない場合は、それを学習経験と見なし、将来的には尊敬される場所からのみファイルを開くようにしてください。

さらに、特定のインシデントに関する質問は、行動の観察をレビューするためのファイルの起源やウイルスの合計リンク(または他のサンドボックス)などの追加の調査結果なしにコミュニティが回答することは困難です。

0
pr-