Fickle PDFs: exploiting browser rendering discrepancies
Imagine the CEO of a random company receives an email containing a PDF invoice file. In Safari and MacOS Preview, the total price displayed is £399. After approval, the invoice is sent to the accounti
Der Artikel beschreibt Rendering-Diskrepanzen bei PDFs anhand eines Beispiels, in dem Safari und macOS Preview einen anderen Rechnungsbetrag anzeigen als ein nachgelagerter Prozess. Dadurch können geschäftliche Freigabeprozesse getäuscht werden. Konkrete betroffene Produkte außer Safari und macOS Preview sind nicht im Artikel angegeben.
Organisationen, die PDF-Dokumente in Freigabe- oder Rechnungsprozessen nutzen; Branche Telekommunikation ist angegeben
Unterschiedliche PDF-Darstellung kann dazu führen, dass Entscheider andere Inhalte sehen als nachgelagerte Systeme verarbeiten.
Eine manipulierte Rechnung wird auf Basis einer harmlos wirkenden Darstellung freigegeben, während ein anderes System abweichende Zahlungsdaten verarbeitet.
PDF-Freigabeprozesse so gestalten, dass derselbe Renderer oder eine kanonisierte Darstellung für Prüfung und Verarbeitung verwendet wird.
- ▸Prüfen, welche PDF-Renderer in Freigabe-, Vorschau- und Verarbeitungsschritten genutzt werden.
- ▸Testen, ob geschäftskritische PDFs in verschiedenen internen Renderern abweichend dargestellt werden.
- ▸Für Rechnungs- und Freigabeprozesse strukturierte Datenvalidierung statt rein visueller PDF-Prüfung verwenden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Defense Evasion | T1036 Masquerading | Low | Der Artikel beschreibt PDFs, die in unterschiedlichen Renderern unterschiedliche Inhalte anzeigen. |
- Konkrete betroffene PDF-Bibliotheken außer Safari und macOS Preview sind nicht im Artikel angegeben.
- Keine CVEs oder IOCs sind im Artikel angegeben.
- Ob aktive Ausnutzung beobachtet wurde, ist nicht im Artikel angegeben.