Khử trùng các tệp PDF


7

Tôi sử dụng Linux trên máy tính để bàn của mình, nhưng tôi đã bị bất ngờ sau khi kiểm tra các tệp PDF ngẫu nhiên trên các máy của mình bằng Virustotal. Một trong số chúng chứa "PDF.Exploit.CVE_2008_2992". Vì vậy, các tệp PDF có thể có nội dung độc hại trong đó.

Câu hỏi: Làm cách nào tôi có thể "khử trùng" tệp PDF? Tôi đang nghĩ đến việc chuyển đổi tệp PDF thành tệp PDF (có thể xóa javascript trong chúng?).


2
Có thể chuyển đổi sang Postcript và quay lại PDF? Nhưng Postcript là một ngôn ngữ hoàn chỉnh, vì vậy tôi thậm chí không chắc chắn điều đó được đảm bảo. Tất nhiên, tất cả đều cho rằng trình xem PDF không có lỗi bảo mật.
Celada

3
In nó, sau đó quét nó.
tylerl

Không chắc chắn rằng Virustotal quét để làm gì. Nếu nó quét để sử dụng lệnh produc.printf (), nhưng không đánh giá các đối số của nó, thì đó là một xác suất rất cao tạo ra một dương tính giả. Và nó cũng phụ thuộc rất nhiều vào nơi mà lệnh produc.printf () được gọi.
Max Wyss

Câu trả lời:


3

Một tìm kiếm nhanh của Google xuất hiện tháo gỡ Javascript Javascript , dường như để làm điều đó.

Nhưng hãy nhớ rằng PDF là một tập hợp con của Postcript, là ngôn ngữ hoàn chỉnh Turing. Vì vậy, có thể có các vectơ tấn công khác, không chỉ nhúng JavaScript (ngay cả khi đó là vectơ lớn nhất) và do đó về mặt toán học không thể biết rằng PDF của bạn thực sự 'an toàn'.

Nếu tệp PDF độc hại nhắm vào lỗ hổng trong trình đọc PDF cụ thể hoặc thư viện được liên kết, thì 'khử trùng' chúng theo cách chung sẽ không hoạt động (và do đó mang lại cảm giác an toàn sai lầm) hoặc sẽ quá nhiệt tình và cũng bị loại bỏ nhiều thông tin. Chỉ cần tưởng tượng tước tất cả các hình ảnh JPEG từ các tập tin PDF để ngăn chặn các lỗ hổng của Microsoft GDI + JPEG ...


Tuy nhiên, đối với lỗ hổng đặc biệt đó, việc sử dụng produc.printf () là vectơ tấn công và với điều đó, không còn có thể sử dụng nó nữa.
Max Wyss
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.