Bitácora de Ferca Network

Blog sobre dominios, alojamiento web, servidores dedicados e Internet

PDFs afectados por vulnerabilidad en XSS

Podría parecer la típica broma del día 28 de diciembre, pero no lo es y que el UXSS (Cross Site Scripting Universal) no para de dar quebraderos de cabeza a los desarrolladores y administradores de sistemas, así como a los usuarios, y es que los ataques a XSS cada vez son más comunes, y ahora con el error descubierto en los PDF parece que el tema se complica.

El 2007 no ha empezado con buen pie en lo que a seguridad en Internet se refiere, parece que el plugin de Adobe Acrobat para versiónes 6.x y 7.x contiene múltiples vulnerabilidades que peude provocar la ejecución de código javascript gracias al XSS. Y pensado un poquito mal, donde no hay un PDF, en cualquier sitio en barco, organizaciones, gobiernos, empresas, …

La única solución parece ser actualizar a la versión 8 de Acrobat, aunque claro que solo para windows, porque para Linux aún no esta disponible, tomará Adobe cartas en este gran problema y actualizará su versiones anteriores. También podeis desactivar el javascript, o no abrir PDFs desde vuestro navegador, o utilizar algun extensión como PDF Download para una mejor gestión de los PDFs por Internet.

En PHP Security alguien ha dejado un comentario indicando que podemos obligar a nuestro servidor Web Apache a descargar el PDF, de forma que no se puedan abrir con el plugin afectado. Las lineas son estas:

SetEnvIf Request_URI “\.pdf$” requested_pdf=pdf
Header add Content-Disposition “Attachment” env=requested_pdf

Puedes utilizarlas en el httpd.conf o en un .htaccess. No sabemos hasta que punto es eficaz esta medida, si bien lo mejor es actualizar.

Si quieres probar si estás infectado, busca algun PDF en algun servidor, y añadele al final:

#hola=javascript:alert(Actualiza tu lector de PDF es vulnerable);

Si el plugin de PDF se carga y eres vulnerable te saldra una ventana con un error “Actualiza tu lector de PDF es vulnerable“.

Más información en Kritopolis. (Gracias por aviso Rubén)

vía: Carrero.es

2 Comentarios

  1. Comentario por Ruben el Enero 4, 2007 2:24 pm

    De nada David.
    ¿Vas a meter las lineas en el httpconf de los servidores de ferca, o lo hacemos nosotros mismo.?

  2. Comentario por Administrador el Enero 8, 2007 10:07 am

    Rubén,

    No lo haremos a nivel general, pero cualquiera podeis hacerlo en compartido con .htaccess y en dedicado modificandolo directamente.

    Si bien parece que este bug tampoco esta siendo muy aplicado, no he oido de gente afectada por el mismo

Comentarios RSS Retroenlace

Dejar un comentario

Powered by WP Hashcash

4 Enero 2007
Fedafi RSS Wordpress Plugin Nueva versión WordPress 2.0.6 plus