몇일 전 Adobe Reader/Acrobat 관련 0-Day 취약점(CVE-2009-3459)이 발표되었습니다.
(자세한 내용 : http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html)
현재 Adobe 사에서 해당 취약점에 대한 패치는 공개 하였으나 PDF 파일에서
해당 취약점이 존재하는지 확인할 경우가 있을거 같아 포스팅을 합니다.
얼마전에 PDF 파일 분석하기 라는 내용으로 포스팅을 한 글이 있습니다.
해당 글에 보면 PDFiD(PEiD 이름에서 따온 것으로 추측....) 툴이 나옵니다.
이 툴을 이용하여 의심스러운 PDF 파일을 빠르게 확인할 수 있는 방법을 알려드리겠습니다.
해당 툴을 이용하여 PDF 파일을 확인하였을 시 아래 그림처럼 /Colors 값이 2^24=16777216
보다 크다면 해당 취약점(CVE-2009-3459)을 이용한 문서라고 합니다.
위 내용은 아래 페이지에서 참고한 글입니다.
http://blog.didierstevens.com/2009/10/13/update-pdfid-version-0-0-9-to-detect-another-adobe-0day/
