marcoszorrilla
04-01-2007, 15:43:51
Ataque PDF: Todos vulnerables
Bienvenidos al maravilloso mundo del UXSS, el Cross Site Scripting Universal. Siéntense y disfruten, porque si muchas veces se ha dado por sentado que la mayoría de sitios web son vulnerables a ataques XSS, hoy estamos más cerca que nunca de afirmarlo.
Y es que 2007 no ha podido empezar peor en lo que a la Seguridad en Internet respecta. Si en 2006 los webmasters corríamos desesperados a parchear nuestros sitios en cuanto se descubría una nueva falla que pudiera permitir ataques XSS en nuestro particular software, en 2007 ya casi no merece la pena correr porque, de la noche a la mañana, nos hemos enterado de que todos nuestros sitios son vulnerables...
Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.
Para colmo de males, el aviso original informa de que los fallos detectados permiten la ejecución de código en Firefox, ataques DoS en Explorer y el robo de sesiones en Firefox, Opera y Explorer. Ahí es nada.
Y es que no existen soluciones milagrosas. Como webmasters podemos retirar los pdf de nuestros servidores; como usuarios algunos pueden actualizar a la versión 8 (http://www.adobe.com/products/acrobat/readstep2.html) (pero no todos los usuarios lo harán, y mucho menos aún los de Linux, que ni siquiera lo tenemos disponible), deshabilitar Javascript (poco sentido tiene utilizar NoScript cuando todos los sitios son ya sospechosos), no abrir PDFs en el navegador (e instruirle para ello), utilizar extensiones (como PDF Download (https://addons.mozilla.org/firefox/636/)) que nos concedan mayor control...
Pero el daño ya está hecho. La vulnerabilidad esencial de una Red creada para compartir "de buen rollito", ha vuelto a quedar en evidencia.
Y esta vez de qué manera.
Fuente. (http://www.kriptopolis.org/ataque-pdf-todos-vulnerables)
Un Saludo en texto plano.
Bienvenidos al maravilloso mundo del UXSS, el Cross Site Scripting Universal. Siéntense y disfruten, porque si muchas veces se ha dado por sentado que la mayoría de sitios web son vulnerables a ataques XSS, hoy estamos más cerca que nunca de afirmarlo.
Y es que 2007 no ha podido empezar peor en lo que a la Seguridad en Internet respecta. Si en 2006 los webmasters corríamos desesperados a parchear nuestros sitios en cuanto se descubría una nueva falla que pudiera permitir ataques XSS en nuestro particular software, en 2007 ya casi no merece la pena correr porque, de la noche a la mañana, nos hemos enterado de que todos nuestros sitios son vulnerables...
Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como el mejor vector de ataque que pudiera imaginarse. ¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores? Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.
Para colmo de males, el aviso original informa de que los fallos detectados permiten la ejecución de código en Firefox, ataques DoS en Explorer y el robo de sesiones en Firefox, Opera y Explorer. Ahí es nada.
Y es que no existen soluciones milagrosas. Como webmasters podemos retirar los pdf de nuestros servidores; como usuarios algunos pueden actualizar a la versión 8 (http://www.adobe.com/products/acrobat/readstep2.html) (pero no todos los usuarios lo harán, y mucho menos aún los de Linux, que ni siquiera lo tenemos disponible), deshabilitar Javascript (poco sentido tiene utilizar NoScript cuando todos los sitios son ya sospechosos), no abrir PDFs en el navegador (e instruirle para ello), utilizar extensiones (como PDF Download (https://addons.mozilla.org/firefox/636/)) que nos concedan mayor control...
Pero el daño ya está hecho. La vulnerabilidad esencial de una Red creada para compartir "de buen rollito", ha vuelto a quedar en evidencia.
Y esta vez de qué manera.
Fuente. (http://www.kriptopolis.org/ataque-pdf-todos-vulnerables)
Un Saludo en texto plano.