Los archivos PDF pueden contener JavaScript malintencionado, acciones abiertas & Pero, ¿qué hay de los archivos djvu ? Si djvu puede ser malicioso, ¿cómo detectar eso manualmente (sin abrir un archivo malicioso, por supuesto)?
Los archivos PDF pueden contener JavaScript malintencionado, acciones abiertas & Pero, ¿qué hay de los archivos djvu ? Si djvu puede ser malicioso, ¿cómo detectar eso manualmente (sin abrir un archivo malicioso, por supuesto)?
Sí, un archivo DjVu puede ser peligroso. Mientras que, como han mencionado otros, está diseñado para no tener ningún código ejecutable, se puede utilizar una vulnerabilidad en un analizador DjVu para explotar el visor. Muchos espectadores utilizan la misma biblioteca, lo que hace que una vulnerabilidad en una sola biblioteca sea relevante para un gran número de espectadores. Un ejemplo histórico es CVE-2012-6535 , que afectó a la popular Biblioteca de DjVuLibre, utilizada por muchos visores de documentos. La vulnerabilidad, según lo informado por Microsoft , fue un error de corrupción de memoria que permitido para la ejecución del código. La página de detalles de CVE brinda información general sobre su impacto:
DjVuLibre antes de 3.5.25.3, como se usa en Evince, Sumatra PDF Reader, VuDroid y otros productos, permite a los atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un DjVu creado (también conocido como .djv) archivo.
Lamentablemente, no es posible detectar manualmente un archivo malicioso de este tipo. No necesariamente contienen signos reveladores tales como secuencias de comandos incrustadas visibles o cadenas sospechosas, y el antivirus rara vez podrá detectarlas. De hecho, generalmente omiten archivos que no son ejecutables.
Esto no es en absoluto específico para DjVu. Cualquier formato de archivo puede ser explotado, incluso los que no espera . La mejor manera de reducir el riesgo de explotación es asegurarse de que todo su software esté actualizado, por lo que cualquier vulnerabilidad descubierta se solucionará rápidamente antes de que pueda explotarse ampliamente.
Por diseño, un archivo djvu no puede contener código ejecutable o scripts. Aún así, es posible que un atacante proporcione un archivo especialmente manipulado que normalmente haga que su espectador se bloquee. En lugar de bloquearse, si la protección de bits de ejecución de datos está desactivada, es posible ejecutar el código en el espacio de usuario de su usuario. Este es un ataque difícil, dada la variedad de visores de djvu, ya que el ataque suele ser específico para una versión de un visor.
Cualquier archivo puede ser malicioso. Es difícil detectarlo manualmente ya que lo único que puede contener es el código de shell. Puede ejecutar el comando unix strings en él para ver si contiene alguna URL maliciosa u otras cadenas sospechosas como rutas a archivos de Windows.
Para reducir sus posibilidades de explotación, no abra este archivo en los navegadores web ni en la suite ofimática de Microsoft.
Lea otras preguntas en las etiquetas malware