Portada
Hace 17 años | Por Raiden a kriptopolis.org
Publicado hace 17 años por Raiden a kriptopolis.org

Ataque PDF: Todos vulnerables

 kriptopolis.org

Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 8 23

Comentarios

TSDgeos
editado

Por cierto, se me olvidó

tsdgeos@bluebox:~$ acroread
bash: acroread: command not found

Yo no soy vulnerable

V 5
K 47
gallir
editado

Hay que aclarar que el "todos" no es cierto, yo no uso el plugin de adobe, sólo el kpdf

V 3
K 44
B
editado

#4 La actualización no resuelve el problema, ya que se requiere que todos los usuarios actualicen y eso no es posible. Primero porque llevará mucho tiempo que todo el mundo use la 8.0 y segundo porque sólo está disponible para Windows.

Así que sigue leyendo

V 1
K 23
D
editado

estaba leyendo...

Solution

Download it to fix the issue http://www.adobe.com/products/acrobat/readstep2.html

Thanks to Adobe Psirt people, they where very kind and professional.

V 1
K 22
samsaga2
editado

#8 Yo aun diria mas, todas las versiones de Acrobat Reader son terribles: tarda mil años en cargar, esta lleno de herramientas inecesarias, te instala basura en el ordenador, etc... Suerte que tenemos alternativas como Foxit.

V 2
K 21
versvs
editado

En el mismo post de kriptoolis se ha añadido ahora una posible solución a emplear en httpd.conf de apache o en el .htaccess si no disponemos de acceso al httpd.conf

SetEnvIf Request_URI ".pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf

Con esas dos líneas se obliga a que el PDF se baje y no se pueda ejecutar nada. Si administras alguna web y cuelgas pdf (creo que todo el mundo los tiene) ya estás tardando en parchear eso (de momento parece que se soluciona el problema).

V 1
K 21
D
editado

He probado con Foxit y no se ejecuta al java.

V 2
K 19
D
editado

pues yo uso KPDF, y mi navegador principal es el Konqueror. Cuando no va, uso el Firefox

V 2
K 18
Raiden
autor
editado

http://www.foxitsoftware.com/pdf/rd_intro.php

V 1
K 15
ElBulla
editado

Viva el sensacionalismo lol

Bajo los archivos con el famoso javascript y nada.

... ah espera, necesito que Júpiter este alineado con Saturno y dar un giro triple mortal para que funcione....

¿"todos"? "apaga y vámonos" mmm pues yo no, no todos usamos plugins adobe.

A esperar que saquen un parche, mientras navegaré muy asustado...
[/ironic]

V 1
K 14
B
editado

#11 No hay sensacionalismo. Todos se refiere a todos los sitios web. Los usuarios sólo son afectados de rebote.

De este fallo sólo se libran los sitios que no albergan PDF. De ahí el "todos".

Repasa XSS.

V 1
K 13
Carme
editado

http://www.disenchant.ch/blog/hacking-with-browser-plugins/34

V 0
K 10
Nukeador
editado

¿Lo lógico no sería que los que se protegieran fueran los usuarios y no las webs?

Según lo veo yo, el fallo esta del lado del cliente, su plugin permite ejecución de código. Aunque parcheemos todas nuestras webs, seguirá habiendo millones que permitirán visualizarlo incrustado en el navegador.

V 0
K 8
Candidatas
15
meneos
tecnología Boeing apenas entrega la mitad de los aviones
29
meneos
actualidad Cierran cuatro restaurantes en Torredembarra por explotación laboral
29
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
29
meneos
actualidad Llamamiento desesperado para ayudar a Alejandro, de diez años, con leucemia: "Quedan cuatro semanas para encontrar un donante de médula"
18
meneos
actualidad La Comunidad de Madrid cesa a un arquitecto autonómico por ausentarse de su puesto desde la pandemia
47
meneos
actualidad El nudismo vuelve a estar permitido en Hendaia
35
meneos
actualidad Las presiones de Unai Rementeria a un alcalde: “Le tienes que exigir que se pringue, yo también me pringaba”
22
meneos
oyoyoy La gran huída: 100 Huskies corren como locos por un centro comercial en China al quedar abierta la puerta de una cafetería perruna
14
meneos
tecnología El sistema que enfría edificios sin usar aire acondicionado: baja la temperatura varios grados sin gastar energía
87
meneos
actualidad Las campañas de desinformación suelen ser de triple capa: digital, mediática y política. Un buen ejemplo es la campaña del PP #AyusoTeníaRazón
19
meneos
actualidad Operación policial en la embajada de Irán en París
18
meneos
actualidad La tiña se expande en Catalunya entre los adolescentes que se rasuran asiduamente la nuca en las barberías 'low cost'
20
meneos
actualidad Roban una escultura de bronce de un millón de euros para venderla al peso por 1.345
18
meneos
metal Necrophobic - Clavis Inferni
20
meneos
actualidad Joe Biden sorprende al afirmar que su tío fue devorado por caníbales
TSDgeos
editado

#2 java != javascript http://www.ericgiguere.com/articles/javascript-is-not-java.html

V 0
K 7
a
editado

UPDATE
Subsequent testing has shown that systems running Internet Explorer 6 and Acrobat 7 on Windows XP SP1, and systems with Internet Explorer 6 and Acrobat 4 on Windows XP SP2 are also vulnerable to the attack.

V 0
K 7
charlie-cr
editado

La versión 8 de Adobe Acrobat es terrible y muchas herramientas quedan escondidas.

V 0
K 6
D
editado

Para aquellos que utilizamos el acroread puede venir bien la extensión Link Alert, que muestra un icono describiendo el tipo de documento al que apunta un enlace
https://addons.mozilla.org/firefox/3199/

V 0
K 6
logadmin
editado

Sólo afecta a sistemas windows. A usuarios de Linux y Mac no les afecta.

V 0
K 6
crisborghe
editado

Esta vulnerabilidad afecta al plugin de Acrobat, por ende el que no lo tiene nada tiene q temer. Funciona en cualquier explorador (FF, Opera, IE, etc) con el plugin instalado. Parte de solución para los usuarios es actualizar a la version 8 (o mejor cambiar de plugin). Lo q parece pasarse bastante por alto es que los usuarios son parte del problema. Los grandes afectados son los sitios que alojan PDF ya que con este ataque se permite XSS con lo q podría ser aprovechado para instalar malware o hacer phishing. Algunas img del funcionamiento: http://seguinfo.blogspot.com/2007/01/hacking-con-browser-plugins.html

V 0
K 6
ElBulla
editado

#15 Me sigue pareciendo sensacionalismo, tomando en cuenta que ese "todos" es mas bien "aquellos que" tienen dicho plugin instalado.

La solución más obvia para quienes usan ese plugin es usar la versión ya disponible del "derrochador de recursos adobe".

V 0
K 6
sauco82
editado

#9 Eso no soluciona el problema, ya que por culpa de las administraciones, ya que algunas páginas te obligan a acceder al contenido mediante el plugin para el explorador, imposibilitando la descarga.

V 1
K 1
a
editado

Nota: esta vulnerabilidad solo afecta a Firefox y el plugin de Adobe.

http://www.symantec.com/enterprise/security_response/weblog/2007/01/when_pdfs_attack.html

V 1
K 1
m
editado

#12 Ramen
Principio de Peter para el software: "todo software sin fallos, útil y adecuado a su función termina añadiendo funciones innecesarias hasta que por fín la gente deja de usarlo"

V 1
K 0