Оманлива безпека RTF-файлів
В MS Office є “діра” яка дозволяє запускати з RTF-файлів макровіруси
В уяві багатьох користувачів файли формату RTF (Rich Text Format) вважаються мало не панацеєю від нав’язливих макровірусів (як і будь-яких інших різновидів шкідливих кодів). Багато антивірусних компаній рекомендують взагалі відмовитися від стандартних файлів MS Word (DOC).
Справді, RTF-файли не можуть містити макро-програм (макросів) в явному вигляді: у разі конвертування (стандартними засобами) з інших форматів макроси автоматично видаляються. Однак така ідеалізація RTF має й інший бік: користувачі втрачають пильність та ігнорують основні правила безпеки, працюючи з документами формату RTF.
Що таке RTF?
Rich Text Format є найбільш поширеним стандартом представлення текстових даних. Його підтримують практично всі текстові редактори, що працюють на найрізноманітніших типах процесорів і операційних систем. Структура стандартного RTF-файла являє собою послідовність секцій даних, взятих у спеціальні мітки (теги), які вказують програмі-обробнику початок або кінець секції. Дані можуть бути різних типів: текстові блоки, графічні об’єкти, таблиці тощо.
При запуску RTF-файла обробник переглядає його вміст, автоматично виконує всі відомі йому секції й пропускає незнайомі. Більше того, структура RTF передбачає можливість безболісного введення нових видів секцій, необхідних користувачеві для виконання специфічних завдань. Причому ці нові секції не впливатимуть на загальну працездатність програми.
Перша ложка дьогтю
Однак у діжці меду, що зветься стандартом RTF, не обійшлося без ложки дьогтю.
І навіть двох.
По-перше, найбільш поширений обробник RTF-файлів, текстовий процесор M$ Word, як і багато інших програм і операційних систем, не такий бездоганний, як про нього говорять. 21 травня 2001 р. компанія Microsoft опублікувала відомості про чергову “діру”, яка дозволяє непомітно для користувачів запускати з RTF-файлів макровіруси.
Як відомо, макровірусами називаються макроси-шкідники, здатні виконувати різні дії без дозволу користувача, в тому числі вживлюватися в інші файли. Макроси можуть міститися безпосередньо в самих документах чи завантажуватися з інших джерел за допомогою посилань. В обох випадках MS Word повинен автоматично показувати попередження про невідомі макроси, що містяться в документі, які можуть виявитися вірусами.
Однак виявилося, що цей захист не працює в RTF-файлах. Тобто зловмисники можуть записати в документ посилання на web-сайт, що містить шаблон, заражений макро-вірусом. При читанні RTF-файла MS Word без будь-яких попереджень завантажить цей шаблон і непомітно запустить вірус. При цьому автор вірусу може в будь-який час модифікувати файл, що зберігається на web-сайті, й дописати йому додаткову функціональність.
Microsoft відреагувала на диво швидко й уже випустила доповнення, що виправляє цю помилку в системі безпеки Word. І хоч досі не було виявлено жодного шкідливого коду, що використовує таку “діру”, рекомендовано все ж завантажити патч із сайту компанії, оскільки історія вже знає досить багато випадків недолугості користувачів.
Друга ложка дьогтю
Вона покликана розвіяти міф про безпеку RTF-файлів, а полягає в тому, що вони можуть містити файли, що виконуються. Для їх активізації користувач повинен запустити посилання, присутнє в тексті RTF-документа. Останнім часом такий метод проникнення на комп’ютери стає дедалі популярнішим серед творців “троянських” програм. Замість звичайних ЕХЕ-файлів, які у всіх відразу ж викликають підозру, вони використовують непоінформованість користувачів про приховані загрози RTF-файлів, розсилаючи RTF-документи з цікавою інформацією і пропонуючи всього-на-всього клацнути на іконку в тілі тексту.
Відразу ж після її запуску MS Word передає бінарний код, що міститься в RTF-файлі, операційній системі, яка автоматично визначає тип файла, перевіряє таблицю асоціацій і передає програму на виконання відповідному обробнику. У випадку VBS-файла це буде Windows Scripting Host, для ЕХЕ-файла – командний процесор Windows і т. д. Як наслідок, користувач може стати жертвою тих же LoveLetter або “Чорнобиля”, але втілених у RTF-документ.
Що ж робити?
Якщо загалом оцінювати рівень безпеки DOC і RTF файлів, потрібно визнати, що в першому випадку він набагато нижчий. Файли формату DOC також можуть нести в собі файли, що виконуються. Вони запускаються одним натисненням на відповідну іконку. Водночас вони можуть містити макровіруси – один із найпоширеніших різновидів шкідливих програм. Якщо вибирати з-поміж цих форматів, все ж рекомендуємо RTF. Однак при роботі з цим стандартом варто дотримуватися таких правил:
1) Своєчасно встановлюйте “латки” до текстових редакторів, якими ви користуєтеся.
2) Обов’язково перевіряйте RTF-документи антивірусними програмами з останніми оновленнями антивірусних баз даних.
3) У жодному разі не запускайте прямі посилання, як би вони не називалися...
|
|
