【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器 2017-09-05 18:16:10 阅读:233次 点赞(0) 收藏 来源: bleepingcomputer.com
【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器 作者:360代码卫士
【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


概要

德国软件开发工程师Hanno Bck指出,Andreas Bogk曾在2011年从PDF解析库中发现的一个循环bug至今仍影响当前多数主流PDF查看器。

这个循环 bug影响文档查看器app Evince中包含的PDF解析器组件。Bogk曾帮助Evince修复这个漏洞并将研究成果发布在2011 Chaos Communication Camp上。

Bogk发现带有某种结构的PDF文档即PDF文件的Cross Reference Table(XREF表)能导致Evince app进入一个连续循环,从而占用所有的本地CPU资源并快速耗尽内存导致Evince app崩溃。

这个bug基本上被人们忽略了,因为它从未被堪称重大的安全问题而且仅影响仅安装在linux桌面的一个小型app。


重现于流行PDF查看器app中

六年之后,发现这个问题存在于大量著名PDF查看器中,于是就变成了一个大问题。

例如,Bck在PDFium库中发现了"loop"bug。而PDFium库能让Chrome在不需要任何插件的情况下在浏览器内解析PDF文档。

在Firefox中有着类似功能的pdf.js库也受影响。GitHub网站上也用到了Pdf.js,用于在网站界面内部解析PDF文档,而无需用户下载文件或是在第三方app中查看。GitHub的这种浏览pdf文件的实现方式也易受无限循环问题的影响,从而中断PDF在GitHub上的解析。

WinRT PDF也受影响。它是Edge浏览器的内置PDF查看器,同时也是windows 8及之后所有版本的默认PDF查看器app即Windows “Reader App”的默认PDF解析器。

同样,开源PDF解析器如Ghostscript和QPDF也受影响,也就是说这个问题可能已经扩散到了很多其他部署了这两个项目的web和桌面PDF查看器app中。

Bck将这个老旧问题告知所有受影响的产品厂商,后者正在准备推出补丁。


Adobe阅读器不受影响

Adobe阅读器和苹果的OS X内置PDF查看器app并不受影响。

Bck指出,他通过使用一个模糊测试库分析每个项目的方式发现了这个问题。模糊测试是一种基本的安全测试技术,可处理大量随机输入数据,从而分析某个程序的输出响应是否存在异常。谷歌的安全专家们是模糊测试的狂热爱好者,他们向每个乐意听取自己建议的人都推荐了模糊测试技术。

Bck指责受影响项目的管理员未运行升级的测试套件。测试套件即有问题文件的集合,PDF阅读器都应该在不崩溃的情况下打开这些文件。在理想情况下,软件开发工程师不应该在不通过测试套件的情况下发布app新版本;Bck建议PDF app将Bogk的循环bug演示文件添加到他们的测试案例中。


【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器
【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器 本文由 安全客 翻译,转载请注明“转自安全客”,并附上链接。
原文链接:https://www.bleepingcomputer.com/news/software/six-year-old-loop-bug-re-discovered-to-affect-almost-all-major-pdf-viewers/

本文业界资讯相关术语:网络安全论文 网络安全密钥 网络安全工程师 网络安全技术与应用 网络安全概念股 网络安全知识 网络安全宣传周 网络安全知识竞赛 网络安全事件

分页:12
转载请注明
本文标题:【国际资讯】六年前的循环bug仍影响几乎所有的PDF查看器
本站链接:http://www.codesec.net/view/563574.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 业界资讯 | 评论(0) | 阅读(83)