in

Cette faille de sécurité effrayante pourrait permettre aux pirates de modifier les contrats que vous avez déjà signés – .

Une publication d’actualités pour laquelle j’ai écrit une bonne quantité de contenu a toujours exigé que les rédacteurs préparent et soumettent des factures au format PDF, apparemment parce qu’elles sont moins susceptibles d’être manipulées qu’un document textuel de type jardin. Du moins, c’est ce que je pense la raison de ce mandat était, pas que cela compte beaucoup pour les écrivains. Si cette directive est la façon dont vous êtes payé, alors c’est ce que vous faites, même si – eh bien, disons simplement que quiconque a soutenu cette hypothèse sur la nature des PDF doit s’en détromper assez rapidement.

Des chercheurs de l’université allemande de la Ruhr à Bochum, qui ont présenté cette année au symposium IEEE sur la sécurité et la confidentialité, ont examiné les failles de sécurité inhérentes aux fichiers PDF qui ont déjà été corrigées par la plupart des applications qui lisent ces documents, mais les implications ici sont néanmoins effrayantes.

Top Deal du jour Les AirPods Pro sont de retour en stock au prix le plus bas d’Amazon en 2021! Prix ​​courant: 249,00 $ Prix: 197,00 $ Vous économisez: 52,00 $ (21%) Disponible sur Amazon, . peut recevoir une commission Acheter maintenant Disponible sur Amazon . peut recevoir une commission

Fondamentalement, les chercheurs ont trouvé un moyen de modifier à la fois le processus de signature des PDF et d’annoter les modifications. Comme ils l’expliquent sur leur blog, « nous avons effectué une analyse approfondie de la sécurité de la certification PDF. Ce faisant, nous avons développé l’Evil Annotation Attack (EAA), ainsi que la Sneaky Signature Attack (SSA).

« L’idée de l’attaque exploite la flexibilité de la certification PDF, qui permet de signer ou d’ajouter des annotations aux documents certifiés sous différents niveaux d’autorisation. Notre évaluation pratique montre qu’un attaquant pourrait modifier le contenu visible dans 15 des 26 applications de visualisation en utilisant EAA et dans 8 applications utilisant SSA en utilisant des exploits conformes aux spécifications PDF. Nous avons amélioré la furtivité des deux attaques grâce aux problèmes de mise en œuvre des applications et n’avons trouvé que deux applications sécurisées contre toutes les attaques.

Cela ressemble certainement au cas d’utilisation prévu d’une faille de sécurité comme celle-ci équivaut à falsifier le nom de quelqu’un sur un contrat ou un document qu’il ne signerait pas autrement – ou, via la possibilité d’annoter un PDF, peut-être d’insérer des clauses ou d’autres caractéristiques d’un accord dont la personne ne croyait pas qu’elles faisaient partie du document qu’elle avait initialement signé. C’est un peu un casse-tête cependant, car une façon de se protéger de ce genre de chose semblerait être… de garder une copie du document original signé pour vous littéralement pour cette raison ?

D’ailleurs, tout cela se produit quelques semaines seulement après qu’Adobe Acrobat a publié un correctif pour un jour zéro ciblant spécifiquement les utilisateurs de Windows. Peu de temps après, comme nous l’avons noté ici, des chercheurs de Microsoft Security Intelligence ont révélé que les PDF étaient le vecteur par lequel les attaquants diffusaient un cheval de Troie d’accès à distance basé sur Java qui pouvait tout faire, de l’enregistrement des frappes des utilisateurs au vol des informations d’identification, et bien plus encore.

Couverture connexe:

Top Deal du jour Prime Day 2021 a commencé tôt pour le Fire TV Stick 4K – seulement 29,99 $ avec le code promo HELLOFTV! Prix ​​courant: 39,99 $ Prix: 29,99 $ Vous économisez: 10,00 $ (25%) Disponible sur Amazon, . peut recevoir une commission Acheter maintenantCode promo: HELLOFTV Disponible sur Amazon . peut recevoir une commission

Ted Nugent : “Si vous êtes du côté de Joe Biden, vous êtes tout simplement un être humain pourri”

Le joueur de tennis Pablo Cuevas passe à la phase suivante de Roland-Garros après avoir remporté la soixante-quatrième finale