Connect with us

technokrata

Komolyabb a PDF hiba, mint hittük

Dotkom

Komolyabb a PDF hiba, mint hittük

Veszélyben lehet az összes adatunk.

Tegnap számoltunk be arról, hogy új hibát fedeztek fel az Adobe által fejlesztett Acrobat Reader szoftverben. Egy webböngésző plugin okozza a hibát, sebezhetősége lehetővé teszi az online támadók számára, hogy bármely olyan weboldalt felhasználjanak alantas céljaikra, melyen egy PDF állomány található. Egy sikeres próbálkozást követően, azaz egy ártalmas Javascript kód futása után pedig el lehet lopni a gépen tárolt cookie-kat és session információkat.

Időközben kiderült, hogy a korábbi állásponthoz képest még veszélyesebb a formátumot olvasó szoftver hibája. A Whitehat Security és az SPI Dynamics bejelentették, hogy az áldozat számítógépében levő winchesteren tárolt adatok összességéhez is hozzá lehet férni; a támadás így nem korlátozódik a sütikre. Billy Hoffman, az SPI Dynamics vezető mérnöke egy e-mailes közleményben úgy fogalmazott, hogy: „A böngészőtől függően a Javascript elolvashatja a felhasználó állományait, letörölheti őket, programokat futtathat, tartalmakat továbbíthat a támadó számára és így tovább.”

Az eltelt napokban az Adobe-t is értesítették a történtekről, ám az újabb információkat a tegnapi nap folyamán még nem igazolták vissza a vállalattól. ”Információink alapján a Flash Player, a Reader és a modern böngészők meg kell, hogy állítsanak egy ilyen kihasználási lehetőséget, de még nem vizsgáltuk meg az összes lehetséges forgatókönyvet.” – tudatta a vállalat egy közleményben az álláspontját.

A sebezhetőség veszélyét csökkenti, ha az újabb, nyolcadik generációs szoftvert használjuk: az Adobe közlése értelmében az Acrobat Reader 8 már mentes ettől a sérülékenységtől. Mindazonáltal a vállalat a korábbi változatok számára is dolgozik a megfelelő javításon. Ha valaki nem akar az újra váltani, akkor a patch-ek kiadásáig érdemes a PDF állományokat magában a kliensben megnyittatni, nem pedig a böngészőbe integrálódó pluginnel.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek