首页 > 清静研究 > 清静转达 > 清静通告

Pdf阅读器数字署名伪造误差清静通告

宣布时间 2019-03-01

误差编号和级别

CVE编号：暂无，危险级别：高危， CVSS分值：官方未评定

影响规模

受影响软件以及版本：

尊龙凯时·(中国区)人生就是搏!

误差概述

德国波鸿鲁尔大学的学者研究发明，在22个PDF阅读器应用程序和7个在线验证服务中保存PDF署名伪造误差，这些误差可被使用来对PDF文档的数字署名举行未经授权的更改，但不会使其无效。

带数字署名的PDF文件在企业和政府组织中被作为具有执法效应的正式文件普遍使用，其中，数字署名是区分文件真实性的主要环节，署名伪造误差一旦被恶意使用，则可能给企业和政府带来商业神秘或经济上的损失。

尊龙凯时·(中国区)人生就是搏!

易受这些攻击的软件列表中包括多款较为盛行的PDF文档阅读器软件，如Adobe Reader，Foxit Reader，LibreOffice，Nitro Reader，PDF-XChange和Soda PDF等。有缺陷的验证服务包括DocuSign，eTR验证服务，DSS演示WebApp，Evotrust和VEP.si等。

现在，所有提供PDF阅读器应用程序的公司都已宣布清静补丁来解决这个问题，而一些在线服务尚未解决这些问题。

学者设计了三种PDF署名诱骗攻击手艺，并划分命名为通用署名伪造（USF），增量生涯攻击（ISA）和署名包装攻击（SWA）。

在USF（Universal Signature Forgery）攻击中，攻击者可以使用署名中的元信息，这样PDF阅读器在验证署名时就无法会见验证所需的数据，却始终以为署名有用，例如Acrobat Reader DC和Reader XI。

ISA（Incremental Saving Attack）攻击使用PDF规范中的正当功效，允许通过附加更改来更新文件，例如生涯注释或向文档添加新页面。该攻击计划通过更改不属于署名完整性�；さ脑蚶葱薷奈牡�。

SWA（Signature Wrapping Attack）攻击强制署名验证逻辑剖析与原始文档差别的文档部分。这是通过“将原始署名的内容重新定位到文档中的差别位置并在分派的位置插入新内容来完成的。”SWA 影响了许多PDF阅读器和一些在线验证服务。

修复建议

尽快更新事情装备所使用的PDF阅读器应用程序至官方最新版。

参考链接

https://www.nds.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2019/02/12/report.pdf

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系