Okazuje się, że rozszerzenie Adobe PDF dla przegladarek internetowych (instalowane zresztą razem z aplikacją Adobe) zawiera lukę pozwalającą na wykonanie dowolnego kodu JavaScript
Jedynym warunkiem jest udostępnianie przez serwis internetowy dokumentu PDF, co w konsekwencji tworzy luki UXSS (Universal Cross-Site Scripting) oraz UCSRF (Universal Cross-Site Request Forgery) niezależne w żaden sposób od kodu strony i jej samej.
Przykład:
http://www.whitehouse.gov/nsc/nss.pdf#foo=javascript:alert(document.cookie);
Do czasu opublikowania poprawki przez Adobe zaleca się wyłączenie rozszerzenia Adobe PDF w opcjach przeglądarek internetowych.
Źródło: PHP Security Blog
Dziura w rozszerzeniu Adobe PDF
Bezpieczeństwo |
Śr, 3 Sty 2007 19:18:23 +0100 |
Autor:
Redakcja
| Czytań: 6500
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.