Ataque PDF: Todos vulnerables

[marcoszorrilla]

Cita:

Ataque PDF: Todos vulnerables

Bienvenidos al maravilloso mundo del UXSS, el Cross Site Scripting Universal. Siéntense y disfruten, porque si muchas veces se ha dado por sentado que la mayoría de sitios web son vulnerables a ataques XSS, hoy estamos más cerca que nunca de afirmarlo.



Y es que 2007 no ha podido empezar peor en lo que a la Seguridad en Internet respecta. Si en 2006 los webmasters corríamos desesperados a parchear nuestros sitios en cuanto se descubría una nueva falla que pudiera permitir ataques XSS en nuestro particular software, en 2007 ya casi no merece la pena correr porque, de la noche a la mañana, nos hemos enterado de que todos nuestros sitios son vulnerables...
Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.
Para colmo de males, el aviso original informa de que los fallos detectados permiten la ejecución de código en Firefox, ataques DoS en Explorer y el robo de sesiones en Firefox, Opera y Explorer. Ahí es nada.
Y es que no existen soluciones milagrosas. Como webmasters podemos retirar los pdf de nuestros servidores; como usuarios algunos pueden actualizar a la versión 8 (pero no todos los usuarios lo harán, y mucho menos aún los de Linux, que ni siquiera lo tenemos disponible), deshabilitar Javascript (poco sentido tiene utilizar NoScript cuando todos los sitios son ya sospechosos), no abrir PDFs en el navegador (e instruirle para ello), utilizar extensiones (como PDF Download) que nos concedan mayor control...
Pero el daño ya está hecho. La vulnerabilidad esencial de una Red creada para compartir "de buen rollito", ha vuelto a quedar en evidencia.
Y esta vez de qué manera.

Fuente.

Un Saludo en texto plano.

[sakuragi]

pues... que mal... muy mal....


requete mal... no no.

pues a no ver pdf directamente desde el navegador web

=S

queda de otra?

[JXJ]

yo si no entiendo..

¿el problema esta en el visor Adobe 6,7 del archivo pdf.
o en el PDF, sin importar que haya sido creado con
algun otro programa que no sea el PDF creator de adobe?

[Casimiro Notevi]

A mí me parece entender que el problema es el driver del visor de Adobe.
Si es así, usando cualquier otro visor no habría problema.
Este tipo de noticias casi siempre está mal redactada y deja mucha confusión en el que se interesa. Sin embargo, para la mayoría de los mortales, simplemente entienden algo así como: "Cuidado con los PDFs, no abras ninguno, que los "jaquers" se te meten en tu ordenador y te borran todo lo que tengas"

Aunque no sé exactamente si el problema es ese o está en los ficheros PDFs.

[Casimiro Notevi]

Según acabo de leer, parece que el problema está en el plugin de Adobe para ver los pdfs en el navegador. No hay problema si se usa otro o se abre el PDF con una aplicación externa al navegador.

También dice Leonard Rosenthol (Adobe Systems) que sólo afecta a Windows y no a Mac ni a Linux.

Enlace a la noticia.

[JXJ]

Gracias Casimiro Notevi

..ya pensaba que todo el formato pdf.
tendria que dejar de usarlo..

[jorge1987]

Cita:

Empezado por Casimiro Notevi

Según acabo de leer, parece que el problema está en el plugin de Adobe para ver los pdfs en el navegador. No hay problema si se usa otro o se abre el PDF con una aplicación externa al navegador.

También dice Leonard Rosenthol (Adobe Systems) que sólo afecta a Windows y no a Mac ni a Linux.

Enlace a la noticia.

Exacto, llegue un poco tarde, pero bueno, es como dice Casimiro. :P

Hace mucho que no pasaba por el club. :P

Es interesante este tema, pero al mismo tiempo, me parece que esta dramatizado por demas, no conosco muchas personas que habran los PDF en el navegador.

Saludos.