Перейти к содержанию

Recommended Posts

Deja_Vu

Т.к. одной из главных дыр в безопасности Windows является продукция Adobe, особенно плагин для просмотра PDF, стоит ли сейчас всем производителям переходить на XPS формат.

Аналог от Microsoft. К тому же, в Windows 7 по умолчанию поставляется XPS Viewer.

Так же XPS Viewer поставляется вместе с .NET Framework 3.0

Создаеть же XPS может любая программа, которая может отправлять документы на печать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович

А дыры от МС уже отменили? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
А дыры от МС уже отменили? :)

А есть дыры в просмоторщиках MS XPS? -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Таки я думаю, что скоро будут. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вот на следующий год и посмотрим, что будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Вообще то этим просмоторщикам 100 лет в обед -))

Однако ж мы отклонились от темы ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

Можно на txt перейти. notepad.exe хорошая штука ;)

И печатать из него можно. И сохранять по ctrl+s тоже удобно. И текст не коробит. И уязвимостей для него с гулькин нос.

В общем, одни положительные моменты!

PS: это я не иронизирую над переходом на ХРS, а просто высказываю свое мнение о том, что pdf нужен не так уж и многим пользователям ПК...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
Вообще то этим просмоторщикам 100 лет в обед -))

Однако ж мы отклонились от темы ...

Так ведь проблема не в годах, а в используемости, как мне кажется. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
Вообще то этим просмоторщикам 100 лет в обед

Файервоксу тоже было в обед сто лет, когда он вдруг стал популярным. И дыры вдруг, совершенно неожиданно, как посыпались.... Плавали-знаем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
Файервоксу тоже было в обед сто лет, когда он вдруг стал популярным. И дыры вдруг, совершенно неожиданно, как посыпались.... Плавали-знаем.

Вот именно, поэтому сейчас лучше использовать IE8 -))

Прямая аналогия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.

Хм...а разве не подходит вариант использовать альтернативный "вьювер" *.pdf ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI
Вот именно, поэтому сейчас лучше использовать IE8 -))

Прямая аналогия.

А я че-то Оперой стал проникаться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Z.E.A.

Чуть реже, но все равно появляются уязвимости и в том же Foxit. Это сам формат *.pdf такой "хороший".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Z.E.A.
Z.E.A.

Чуть реже, но все равно появляются уязвимости и в том же Foxit. Это сам формат *.pdf такой "хороший".

Вы же сами вот недавно говорили о вреде популярности.:)

Почему бы не использовать тот же Sumatra?

offtop:

Вот именно, поэтому сейчас лучше использовать IE8 -))

Я кстати, тоже, я буду сидеть пока на нём, пока не выйдет Opera 10.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
А я че-то Оперой стал проникаться :)

Я привел IE лишь для аналогии MS и сторонний дырявый продукт, т.к. MSовские продукты так же популярны, а уявзимостей в них меньше.

Опера без сомнения лучший выбор -))

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
xyz
Чуть реже, но все равно появляются уязвимости и в том же Foxit.

Дыры ищут и находят в любом мало-мальски популярном софте.

Смысл использования того же foxit в огромном понижении вероятностей заражения по сравнению с адобом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
Смысл использования того же foxit в огромном понижении вероятностей заражения по сравнению с адобом.

Все верно, но не только поэтому.

Также причина еще в том, что многие аналогичные (не Adobe) pdf-читалки не встраиваются так сильно в систему и в браузер, а лежат просто файлом на диске (поправят разве что ассоциации на расширение pdf парой записей в реестр). Поэтому никаких dll и процессов не висит, вызвать просто так их тоже не выйдет (в отличие от Adobe).

Руками можно также сделать так, что бы при открытии pdf каждый раз открывалось окно "Открыть с помощью..." - это еще один шаг по безопасности в этом направлении. В таком случае остается опасность только самому руками открыть зловредный pdf-файл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
Смысл использования того же foxit в огромном понижении вероятностей заражения по сравнению с адобом.

чушь. никакого "понижения вероятностей".

уязвимость в обработке JBIG2 затрагивает все программы-просмотрщики *pdf.

и Foxit в том числе.

курите гугл.

кстати, в блогах пишут, что как раз в Foxit её впервые и нашли. а когда копнули дальше, оказалось что и адоб там же.

Руками можно также сделать так, что бы при открытии pdf каждый раз открывалось окно "Открыть с помощью..." - это еще один шаг по безопасности в этом направлении. В таком случае остается опасность только самому руками открыть зловредный pdf-файл.

не поможет :)

как временное решение - отключение исполнения джава-скриптов в документе.

Z1NpaR7ezu.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
как временное решение - отключение исполнения джава-скриптов в документе.

Да, согласен, следует также иметь в виду, что по умолчанию в том же Foxit они включены...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu
чушь. никакого "понижения вероятностей".

Правда?

Т.е. pdf-эксплойты все равно будут срабатывать в броузерах? -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
не поможет

Не поможет в каком случае? ;) Я же написал - поможет при запуске НЕ руками, т.е я написал, что останется в ТАКОМ случае запустить этот эксплоит ТОЛЬКО руками т.к ShellExecute работать не будет (именно через эту функцию скорее всего будет запускаться вредоносный файл pdf).

Также это поможет при внедрении через эксплоит через браузер - либы в памяти нет, пути до нее браузер не знает, связи с расширением также нет (это еще при условии, что просмотрщик просто на диске лежит).

Описанное мной поможет от всего, кроме как от запуска файла руками - прошу это учитывать, ведь я пишу вполне понятно. А против опасностей, таящихся в документах есть другие методы защиты, которые обсуждать в данной теме не вижу смысла.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
уязвимость в обработке JBIG2 затрагивает все программы-просмотрщики *pdf и Foxit в том числе.

Да, многие просто забывают, что такой код не пишется с нуля, и уязвимость кочует вместе с библиотеками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×