Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.
|
etiquetas: pdf , seguridad , vulnerabilidad , adobe
Solution
Download it to fix the issue www.adobe.com/products/acrobat/readstep2.html
Thanks to Adobe Psirt people, they where very kind and professional.
Así que sigue leyendo
tsdgeos@bluebox:~$ acroread
bash: acroread: command not found
Yo no soy vulnerable
SetEnvIf Request_URI ".pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf
Con esas dos líneas se obliga a que el PDF se baje y no se pueda ejecutar nada. Si administras alguna web y cuelgas pdf (creo que todo el mundo los tiene) ya estás tardando en parchear eso (de momento parece que se soluciona el problema).
Bajo los archivos con el famoso javascript y nada.
... ah espera, necesito que Júpiter este alineado con Saturno y dar un giro triple mortal para que funcione....
¿"todos"? "apaga y vámonos" mmm pues yo no, no todos usamos plugins adobe.
A esperar que saquen un parche, mientras navegaré muy asustado...
[/ironic]
Principio de Peter para el software: "todo software sin fallos, útil y adecuado a su función termina añadiendo funciones innecesarias hasta que por fín la gente deja de usarlo"
De este fallo sólo se libran los sitios que no albergan PDF. De ahí el "todos".
Repasa XSS.
addons.mozilla.org/firefox/3199/
www.symantec.com/enterprise/security_response/weblog/2007/01/when_pdfs
Subsequent testing has shown that systems running Internet Explorer 6 and Acrobat 7 on Windows XP SP1, and systems with Internet Explorer 6 and Acrobat 4 on Windows XP SP2 are also vulnerable to the attack.
Según lo veo yo, el fallo esta del lado del cliente, su plugin permite ejecución de código. Aunque parcheemos todas nuestras webs, seguirá habiendo millones que permitirán visualizarlo incrustado en el navegador.
La solución más obvia para quienes usan ese plugin es usar la versión ya disponible del "derrochador de recursos adobe".