我为什麽需要重视PDF应用程式的安全性.PDFVIP

Adobe Acrobat 與 Reader 安全性白皮書 我為什麼需要重視 PDF 應用程式的安全性？ 降低風險注意事項 目錄 Ponemon Institute 的研究人員在 2010 年針對跨越北美、EMEA 和亞洲 5 個國家所做的調查中發現，組織的 1: 程式當機製造了攻擊的 資料外洩平均成本已增加為 400 萬美元，比前一年增加了 18%。另一項針對 45 個美國組織進行的研究發現， 機會 網路犯罪每週約造成一件攻擊成功的案例，每年對每家公司所產生的年度成本中位數為 380 萬美元，最高達 2: 尋找充分利用 OS 降低風 5,200 萬美元。網路犯罪者越來越容易鎖定公司企業，但逮捕或起訴網路犯罪者的困難度卻未降低。現今企業 險方式的軟體來降低風險 3: 如何評估廠商的安全性 均面臨著網路攻擊者的挑戰，這些攻擊者的意圖包括竊取資料、破壞名譽，或者單純想要炫耀駭客技巧。 途徑 駭客經常使用的攻擊工具正好也是企業偏好的資料、文件和智慧財產工具：廣泛採用的檔案類型。攻擊者 3: Adobe Acrobat X 系列產品 的安全性與獨立第三方 透過將惡意程式碼內嵌在檔案中，達到入侵系統的目的。由於 PDF 是一種免費發佈標準，因而讓它變成這種 測試結果 廣泛採用的檔案類型。許多開發人員都使用這種標準建立其專屬的 PDF 工具，但卻也因此為網路犯罪者製造了 4: 摘要 更多犯罪的機會。由於駭客會嘗試攻擊用來建立與檢視 PDF 檔案之程式的弱點，導致現在各企業在決定其公 司環境內可以執行的軟體時，都必須保持警覺。 本白皮書探討安全性漏洞的後果、為了防範攻擊所應採用的應用程式安全措施，以及能夠生產安全軟體的 廠商特質。文中也分享協力廠商安全性測試的結果，以展示 Adobe® Acrobat® X 和 Adobe Reader® X 軟體在避免 組織遭受可能導致災難性後果的攻擊上，如何超越其他 PDF 解決方案。本白皮書說明企業為何必須評估用於 檢視與建立 PDF 檔案之應用程式的安全性（透過提出下列問題和其他問題），而且嚴謹的程度應該與用來評估 其多數商業關鍵應用程式相同： • 軟體中內建了哪些作業系統 (OS) 降低風險方式？軟體是否包含能夠避免當機變成可利用弱點的防範措施？ • 目前提供哪些程序（從產品開發到 QA）來處理不斷演變的安全威脅？ • 廠商如何在不犠牲功能的情況下提供安全性？ • 產品發行的後續處理如何？ 廠商是否仍持續主動加強產品的安全性？ • 廠商與規模較大的安全社群關係如何？ 若未能達到如此嚴謹的程度，組織便會曝露在極大的風險下。 程式當機製造了攻擊的機會 駭客最常使用的一種方式是提供損毀的檔案給系統，導致系統當機，而採用的手段通常是欺騙文件收件者， 讓他們相信損毀檔案是真的檔案。當機會造成混亂並影響生產力，但當機本身破壤力並不強。較嚴重的問題 是攻擊者可能會嘗試利用記憶體損毀的瑕疵。如果當機提供了一個攻擊者能夠成功利用的缺口，攻擊者就 可以插入惡意程式碼，在系統上執行，而讓攻擊者得以在缺少足夠分層防衛機制的電腦上竊取資料（例如信用卡 號碼）、安裝惡意軟體、刪除檔案，或是修改其他系統資訊。這種攻擊並不是 PDF 檔案特有的一種攻擊形式； 駭客多年來一直利用這種方式攻擊網頁應用程式、作業系統以及所有常見的軟體和檔案類型。 如果組織擁有正確的軟體，嘗試攻擊的影響就可以降到最低。否則，後果可能不堪設想。您的名譽和品牌可能 遭到破壞，無法回復；您的客戶可能對您喪失信心，轉而投向競爭對手；您甚至可能需負起侵權的法律責