在今年的信息安全頂級峰會 S&P 上，來自德國波鴻魯爾大學(RUB)的研究團隊介紹了存在于 PDF 格式中的安全缺陷。雖然該漏洞已經(jīng)被大多數(shù) PDF 閱讀器修復(fù)，但是該漏洞的破壞力依然非常強大的。

在研究過程中，研究人員找到了一種方法，可以改變 PDF 的簽名過程，也可以對變化進行注釋。正如他們在博客上所解釋的，“我們對PDF認證的安全性進行了廣泛的分析。在此過程中，我們開發(fā)了邪惡的注釋攻擊(EAA)，以及狡猾的簽名攻擊(SSA)”。

在博文中寫道：“該攻擊思路利用了 PDF 認證的靈活性，它允許在不同的權(quán)限級別下對認證文件進行簽名或添加注釋。我們的實際評估表明，攻擊者可以通過使用 EAA 在 26 個查看器應(yīng)用程序中的 15 個應(yīng)用程序中改變可見內(nèi)容，并通過使用符合PDF規(guī)范的漏洞在8個應(yīng)用程序中改變可見內(nèi)容。我們通過應(yīng)用程序的實施問題改善了這兩種攻擊的隱蔽性，并發(fā)現(xiàn)只有兩個應(yīng)用程序?qū)λ泄舳际前踩?rdquo;。通過這個安全漏洞，就相當于在合同或者文件上偽造某人的簽名，通過注釋 PDF 的能力，可以插入條款或協(xié)議的其他功能。