一年发掘过百裂痕,来看看是他怎么做到的
|
5 月 24 日, 2017 年中国收集安详年会在青岛正式开幕。来自腾讯、华为、海潮、东软等十数家安详厂商的专家、研究职员云集为收集安详建言献策。受近期“WannaCry”病毒危及用户文档的影响,来自腾讯安详连系尝试室玄武尝试室的技能专家刘科,在安详工匠分论坛上专门针对当下行使极为广泛的PDF文档软件的裂痕发掘实践举办了主题演讲。 据悉,腾讯安详连系尝试室玄武尝试室自 2015 年 12 月启动PDF裂痕研究以来,一年时刻内发明并向软件厂商陈诉了 122 个裂痕,涵盖Adobe Acrobat and Reader、Foxit Reader、 Microsoft Edge、Google Chrome和OS X Preview、Adobe Digital Editions等主流阅读器和赏识器。
刘科先容称,PDF作为一种用户和企业常常行使的文件名目,有着繁琐伟大的代码文档和字体图片等富厚多样的特征,与近期被黑客操作的Office裂痕一样,文件名目每每具有跨平台的特点,一旦文件名目存在安详裂痕,不管方针主机是Windows照旧Linux体系都可等闲被攻破。因为这一特征,使得文件名目裂痕进攻越来越受黑客的青睐,若存在文件名目裂痕并被恶意操作,受影响的用户浩瀚,危害性极大。因此,深入说明和研究PDF文件名目裂痕具有很是重要的意义。
刘科在现场对腾讯安详连系尝试室玄武尝试室团队发掘PDF裂痕进程中,从探求PDF进攻面到获取测试样本,以及最终睁开PDF裂痕发掘的能力和履历举办了深度分享。 时代,针对测试样本,刘科给出了三点提议: 一、更多的测试样本意味着更高的代码包围度,而更高的代码包围度意味着可以发明更多的Crash; 二、不要等闲挥霍测试样本,可以行使 AFL / libFuzzer 对开源库举办 Fuzz,并行使天生的测试样原来测试闭源的二进制文件。
三、复用开源项目标测试集,风行的开源项目凡是会维护一个测试集,个中有大量的测试样本(包罗正当和犯科的样本文件)
而作为外界重点存眷的裂痕发掘能力分享环节,刘科则在现场向各人作了重点叙述和案例说明: 一、通过编写 PDF 转换器,将文件可能数据转换为 PDF 文件,可以实现只变异感乐趣的文件名目可能数据。必要留意的是,行使第三方的 PDF 库,可控性略差,也许丢失部门测试用例,而本身下手编写的转换器,则完全自主可控,二者可以按照实践情形择优行使。 二、搜查是否行使了开源或闭源的第三方库,按照环境对Fuzz 第三方库举办有用操作。在实践进程中发明,行使 AFL / libFuzzer Fuzz 开源库越发高效,纵然闭源,单独 Fuzz 库文件也会越发高效。但必要留意的是,第三方库会受到0Day裂痕影响,也许还会受到已知裂痕影响,在操作时必要留意。 针对这项实践能力,刘科操作LibTIFF案例来做了进一步越发深入的叙述。通过Fuzz第三方库发掘CVE-2016-5875 LibTIFF PixarLogDecode裂痕的进程中,四款PDF阅读器中仅有Adobe Reader DC未受影响。
三、不要直接 Fuzz 复杂的 PDF 阅读器 / 赏识器;重复的建设历程会淹灭大量时刻,会使得加载大量不须要的库文件,以及举办大量不须要的初始化操纵。在实践进程中,腾讯安详连系尝试室玄武尝试室发明,GUI也许也是不须要的,但这个要按照详细环境来操纵。 四、在编写包装措施(Wrapper)的进程中,提议忽略无关的操纵,只存眷感乐趣的部门。同时,刘科还分享了有利于措施编写的资源库及要领,开源软件保举PDFium 的 libFuzzer 模块,Foxit Reader提供SDK,Windows PDF Library提供API,Adobe Acrobat Reader可以通过逆向说明找到接口函数。 针对近期发作的针对Office文件的“WannaCry”打单病毒,刘科暗示,早在本年 3 月,微软就已经宣布补丁,但因为大都用户未实时进级电脑,因此极易蒙受进攻。这在进一步反应出用户对付收集安详的危急意识的单薄状态之外,也提示安详厂商,在进攻多样化的本日,研究职员必要继承与时刻竞走,抢在黑客之前发掘并向厂商陈诉裂痕。 据悉,此次“WannaCry”病毒发作后,腾讯安详就敏捷组织人力,开拓出包罗打单病毒离线版免疫器材、文档保卫者器材、文件规复器材在内的安详器材,第一时刻截止了病毒危害。 刘科在演讲中提示还公家留意,黑客在探求裂痕的进程中,永久都是由面到点,层层发掘,任何一个裂痕都也许造成用户的丧失,在收集安详形势日趋严厉的本日,企业和用户再不能抱着已往“离我还很远”的心态来应对。 (编辑:厦门网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
