摘要：2010年早期，PDF漏洞利用还是最常见的恶意软件伎俩之一。年中时，漏洞利用的头把交椅被Java漏洞占据。尽管这样，PDF仍是极受“欢迎”的攻击目标。

　　对于运行PDF软件(Adobe Reader及其商业版本Acrobat)的企业来说，这些攻击导致了几乎无止境的软件更新。为什么恶意软件的作者喜欢利用PDF漏洞?如何使自己避免成为其受害者?
　　
　　原因分析
　　
　　1、低垂的果实：PDF的漏洞利用如此猖狂的一个原因在于Adobe Reader的应用非常普遍。由于数据执行预防(DEP)和地址空间布局随机化(ASLR)等强化技术已经进入了Windows领域，这使得操作系统的漏洞利用不再那么有吸引力。恶意软件的编写者需要更肥沃的土壤，而PDF由于应用广泛而受到关注。几乎每台电脑都要安装PDF阅读器，这成为恶意软件作者最喜爱的乐土之一。
　　
　　2、“简捷的”漏洞利用：事实上，可以利用PDF漏洞的恶意软件工具是很容易得到的，几乎不需要什么努力或费用就可以得到这种工具。如Lucky Sploit、Crime Pack、Fragus等恶意工具，在国内外不少网站上可以买到或下载。如今，多数新的恶意软件工具套件包括Adobe Flash、Java、基于PDF的漏洞利用等。这些套件可以轻松地利用Adobe Reader的一些著名漏洞，实施自动化攻击。
　　
　　3、巨大的攻击面：PDF是一种工业标准的便携式文档格式，许多免费和商业软件都支持此格式。而Adobe Reader和Acrobat产品是其中的宠儿。这使得PDF成为文档交换的一种“统一语言”，但同时也意味着一种巨大的攻击面，Adobe和反恶意软件厂商在防御过程中困难重重。例如，Adobe Reader支持嵌入式Javascript对象，因而恶意软件作者又可以展开新的攻击。
　　
　　有些用户仍然运行着AdobeReader8.0或更低的版本，认为自己的软件支持自动更新并安装了所有的可用补丁。但用户应当迁移到ReaderX，这样就可以成功避免针对老版本的漏洞利用。
　　
　　4、斗争远没有结束：去年，Adobe采取了许多措施来减少PDF漏洞利用。除了自动更新，Adobe还开发了一种Adobe Reader受保护模式。这是一种沙箱技术，可以在其中打开并显示PDF文档，限制恶意软件对其它应用程序的调用，并运用策略来决定自动准许或阻止行动。不幸的是，用户往往会单击“确定”，从而使这些保护失效。虽然用户现在也许认识到，PDF可用于实现钓鱼，许多人仍然不认为PDF会成为恶意软件的温床。攻击者们继续搜索新的漏洞，或新的方法来逃避检测。例如，ROP和窃取数字证书在PDF漏洞利用中就扮演过角色。
　　
　　管理员们可能知道如何通过扫描和过滤来监视其它的攻击形式，但减少PDF的漏洞利用却有不少困难。几乎没有哪家企业愿意简单地阻止PDF附件及其下载，合法的PDF极其普遍，并在商业惯例中根深蒂固。然而，雇员们仍可以采取措施防御已知的漏洞利用。
　　
　　应对刻不容缓
　　
　　你首先需要将每个桌面的Adobe Reader或Acrobat升级到最新的版本，并启用自动更新，还要进行安全配置。
　　
　　企业还可以考虑使用其它的PDF阅读器，这样做也许可以减少攻击面，要考虑自由软件阅读器的合法性、安全性、互用性。企业必须监视PDF阅读器的漏洞，要确保根据优先级别及时应用补丁，例如，一个月检查一次，从时间上讲就显得太长。
　　
　　最后，要教育经理主管人员和其它员工，并告知他们常常是钓鱼攻击的目标，以及PDF可能导致的风险。
　　
　　责任编辑：Lily