Súlyos sebezhetőség az Adobe Readerben
Sérülékenységet fedeztek fel a sokak által használt Adobe Acrobat Reader böngészőbe épülő pluginjében, amely lehetővé teszi, hogy egy PDF-fájl megnyitásakor tetszőleges JavaScript-kód fusson le az áldozat számítógépén.
Biztonsági elemzők szerint a sérülékenység rendkívül egyszerűen kihasználható és akármilyen weboldalon elhelyezhető, amely PDF-állományokat tartalmaz, akár egy bank weboldalán is, ahonnan például az üzletszabályzat tölthető le PDF formátumban. Ezen weboldalak üzemeltetői anélkül lehetnek "bűnrészesek", hogy tudnának róla -- figyelmeztetnek szakértők.
A sebezhetőségre épülő támadások kivitelezése végtelenül egyszerű: a támadó létrehoz egy weboldalat, amelyen a JavaScripttel együtt elhelyez egy linket a PDF-et tartalmazó oldalra. Amikor a felhasználó megnyitja a PDF-et, a JavaScript lefut és innentől kezdve csak a támadó fantáziájára van bízva, hogy mit tesz a felhasználó adataival vagy gépével, de a módszer akár cross-site scripting támadásokra is használható.
A biztonsági rést az olasz Stefano Di Paola és Giorgio Fedon fedezte fel és a Németországban tartott Chaos Computer Club rendezvényen hozták nyilvánosságra. Az Adobe állítása szerint a Reader legújabb, 8-as változatában már nincs jelen a sebezhetőség, így a felhasználóknak egyszerűen frissítenie kell szoftverüket erre, de a vállalat ígérete szerint a régebbi verziókat is mihamarabb javítani fogja. A régebbi, sérülékeny Readerhez ragaszkodó internetezők számára az jelenthet gyógyírt, ha a PDF-fájlokat nem a böngészőben nyitják meg a plugin segítségével, hanem letöltik és a Readerben olvassák.
A Symantec figyelmeztetése szerint az Adobe Reader hibája nyomán megszaporodhatnak az XSS-támadások, amelyek eddig a weboldalak hibáit használták ki, de most erre nincs szükség, ugyanis szinte minden internetező gépén megtalálható a támadást lehetővé tevő sérülékeny szoftver.