کارشناسان ۳ حمله را شناسایی کردند که نشان می‌دهد اسناد پی‌دی‌اف امضاشده قابل اطمینان نیستند

کارشناسان چند آسیب‌پذیری را در برنامه‌های نمایش پی‌دی‌اف و خدمات اعتبارسنجی آنلاین کشف کردند که امکان فریب فرآیند اعتبارسنجی امضای دیجیتال را فراهم می‌کند. چندین برنامه‌ی نمایش پی‌دی‌اف و خدمات اعتبارسنجی آنلاین حاوی آسیب‌پذیری‌هایی هستند که ممکن است برای ایجاد تغییرات غیرمجاز در اسناد پی‌دی‌اف امضاشده بدون باطل کردن امضای دیجیتال آن‌ها مورد بهره‌برداری قرار گیرند. ۲۲ برنامه‌ی دسک‌تاپ و ۷ خدمات اعتبارسنجی آنلاین تجزیه و تحلیل شده است و فهرست برنامه‌های آسیب‌پذیر شامل نرم‌افزار محبوب مانند ادوبی ریدر، فاکسیت ریدر، لیبرآفیس، نیترو ریدر، PDF-XChange و Soda PDF است. خدمات اعتبارسنجی آسیب‌پذیر نیز شامل DocuSign، eTR Validation Service، DSS Demonstration WebApp، Evotrust و VEP.si است.

امضای دیجیتال فایل‌ها ازجمله پی‌دی‌اف‌ها آن‌ها را در برابر تغییرات غیرمجاز محافظت می‌کند و این کار در میان شرکت‌ها و سازمان‌های دولتی بسیار رایج است. کارشناسان سه روش حمله‌ی جعل امضای پی‌دی‌اف شناسایی کردند که حمله عبارتند از جعل امضای همگانی (USF)، حمله‌ی ذخیره‌ی افزایشی (ISA) و حمله‌ی بسته‌بندی امضا (SWA). تقریباً همه‌ی برنامه‌های نمایش پی‌دی‌اف و خدمات اعتبارسنجی آنلاین در برابر این روش‌های حمله آسیب‌پذیر هستند. ادوبی ریدر ۹ که در لینوکس اجرا می‌شود تنها برنامه‌ای است که حداقل در برابر یکی از این حملات آسیب‌پذیر نیست و تنها خدماتی هم که حداقل در برابر یکی از این حملات آسیب‌پذیر نیست DSS Demonstration WebApp نسخه‌ی ۵٫۴ است. همه‌ی شرکت‌هایی که برنامه‌های نمایش پی‌دی‌اف ارائه می‌دهند برای رفع این مسأله وصله‌های امنیتی منتشر کرده‌اند، بااین‌حال برخی از خدمات آنلاین هنوز این اشکالات را برطرف نکرده‌اند.

پست‌های مشابه

Leave a Comment