Tegnap gyorsan bejárta az internetes szaksajtót a hír, hogy veszélyes biztonsági rést fedeztek fel az Adobe PDF-olvasójának böngészőpluginjében. A sebezhetőséget egy IT-biztonsági konferencián ismertette két szakértő, Stefano Di Paola és Giorgio Fedon, akik már októberben tájékoztatták a fejlesztő céget a lyukról. Nem véletlen, hogy az azóta kiadott Adobe Reader 8-ban az már nem található meg, de mivel még ma is sokan használják a szoftver korábbi verzióit, nem okafogyott a figyelmeztetés. Még akkor sem, ha a leggyakoribb böngésző, az Internet Explorer legújabb verziójában nem, csupán a 6-os vagy annál korábbi változatokban, valamint a Firefoxban és Operában használható ki a hiba.
Az erre épülő ún. cross-site scripting (XSS) támadáshoz csupán egy rosszindulatú JavaScript programot kell megírni, majd azt egy PDF-dokumentumra mutató link paraméterei között meg kell adni. Az Adobe Reader ugyanis az URL-ben elhelyezett paraméterekkel vezérelhető – például meghatározható, hogy milyen formában jelenjen meg a fájl –, és mint kiderült: a paraméterként megadott szkript a böngészőben automatikusan lefut. Mivel egy megbízható webhelyre mutató linket is lehet ilyen módon módosítani, a felhasználó gyanakvása is elaltatható. Egy ilyen támadással nem csupán cookie-kat és böngészési információkat lehet megszerezni, de akár férgek is futtathatók.
Az Adobe azt javasolja a felhasználóknak, hogy frissítsék az Adobe Readert a legújabb, 8-as változatra. A vállalat egyben ígéretet tett arra, hogy a korábbi verziókban patchekkel betömi a rést.
Veszélyes hiba az Adobe Readerben
- Írta: Barna József
- Forrás: IT.news
- Kapcsolódó cégek:
- Adobe
Azóta történt
-
Letölthető a linuxos Flash Player 9
Az átugrott 8-as verzió után a 9-est ismét kiadta a nyílt forrású operációs rendszerre az Adobe.
Szoftver 2
-
Jön a magyar Adobe Acrobat 8
Macintoshra is elkészült a népszerű dokumentumkezelő alkalmazás honosított változata.
Szoftver 0
-
Felteszi a netre a Photoshopot az Adobe
A Google internetes nyomulása megelőző lépésekre kényszeríti a riválisokat. Ingyenes lesz az online verzió.
Szoftver 0
-
Egy biztonsági rés addig veszélyes, amíg kevesen tudnak róla
A nulladik napi hibák átlagos élettartama több mint egy év.
Biztonság 4
Előzmények
-
Letölthető az Adobe Reader 8
Barátságosabb a cég által propagált PDF formátumot olvasó program új változata.
Szoftver 10
-
A Google webes könyvolvasót vezetett be
A Google egyszerűbbé és könnyebbé tette a beszkennelt könyvek olvasását.
Szoftver 0
-
Ha kell, az Adobe beperli a Microsoftot
A szoftvercég attól tart, hogy a Windows-monopóliummal támogatott XPS-sel nem tudnak majd versenyezni.
Szoftver 24
-
Az Adobe segíti a Firefox fejlesztését
A világ egyik legnagyobb szoftverfejlesztő cége értékes információk átadásával kapcsolódott be a nyílt forráskódú közösség munkájába.
Tech 2
Percről percre
ph Fekete ventilátorokkal, visszafogott világítással, de LCD kijelzővel érkezik a gyártó új topmodellje.
gp A Hammer95 első játékában a mesterséges intelligencia találkozik a szintipoppal, a 80-as évek hajviseletével, és rengeteg vérontással.
gp A Square Enix üzleti modellt vált: ezentúl csak a hatalmas költségvetésű megajátékokkal foglalkoznak. Talán az utolsó kivételt az Emerald Beyond jelenti, ez a kiismerhetetlenségétől nagyszerű RPG.
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Alpha Laptopszerviz Kft.
Város: Pécs