:

Szerző: Bodnár Ádám

2007. január 4. 10:28

Súlyos sebezhetőség az Adobe Readerben

Sérülékenységet fedeztek fel a sokak által használt Adobe Acrobat Reader böngészőbe épülő pluginjében, amely lehetővé teszi, hogy egy PDF-fájl megnyitásakor tetszőleges JavaScript-kód fusson le az áldozat számítógépén.

[HWSW] Sérülékenységet fedeztek fel a sokak által használt Adobe Acrobat Reader böngészőbe épülő pluginjében, amely lehetővé teszi, hogy egy PDF-fájl megnyitásakor tetszőleges JavaScript-kód fusson le az áldozat számítógépén.

Biztonsági elemzők szerint a sérülékenység rendkívül egyszerűen kihasználható és akármilyen weboldalon elhelyezhető, amely PDF-állományokat tartalmaz, akár egy bank weboldalán is, ahonnan például az üzletszabályzat tölthető le PDF formátumban. Ezen weboldalak üzemeltetői anélkül lehetnek "bűnrészesek", hogy tudnának róla -- figyelmeztetnek szakértők.

A sebezhetőségre épülő támadások kivitelezése végtelenül egyszerű: a támadó létrehoz egy weboldalat, amelyen a JavaScripttel együtt elhelyez egy linket a PDF-et tartalmazó oldalra. Amikor a felhasználó megnyitja a PDF-et, a JavaScript lefut és innentől kezdve csak a támadó fantáziájára van bízva, hogy mit tesz a felhasználó adataival vagy gépével, de a módszer akár cross-site scripting támadásokra is használható.

A biztonsági rést az olasz Stefano Di Paola és Giorgio Fedon fedezte fel és a Németországban tartott Chaos Computer Club rendezvényen hozták nyilvánosságra. Az Adobe állítása szerint a Reader legújabb, 8-as változatában már nincs jelen a sebezhetőség, így a felhasználóknak egyszerűen frissítenie kell szoftverüket erre, de a vállalat ígérete szerint a régebbi verziókat is mihamarabb javítani fogja. A régebbi, sérülékeny Readerhez ragaszkodó internetezők számára az jelenthet gyógyírt, ha a PDF-fájlokat nem a böngészőben nyitják meg a plugin segítségével, hanem letöltik és a Readerben olvassák.

A Symantec figyelmeztetése szerint az Adobe Reader hibája nyomán megszaporodhatnak az XSS-támadások, amelyek eddig a weboldalak hibáit használták ki, de most erre nincs szükség, ugyanis szinte minden internetező gépén megtalálható a támadást lehetővé tevő sérülékeny szoftver.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.