Ataque PDF (II): Y en tu ordenador, también
Por si acaso a alguien le quedaban dudas sobre si los sitios web tenían alguna responsabilidad en la vulnerabilidad UXSS que nos ha regalado Adobe al empezar el año, aquí llega la prueba del algodón.
Resulta que el ataque también funciona en local, es decir, sin necesidad siquiera de utilizar ningún web como inocente intermediario...
Lo puedes comprobar tú mismo. Si tienes Firefox/Opera en Windows y utilizas aún Acrobat 7, carga en tu navegador la siguiente dirección (en una línea):
file:///C:/Archivos%20de%20programa/Adobe/
Acrobat%207.0/Resource/ENUtxt.pdf#joer=
javascript:alert(%22Vulnerable!%22);
(Ojo: la dirección puede variar según tu instalación o idioma, pero puedes localizar ese pdf en tu ordenador navegando un poco; antes de cargarlo en el navegador no olvides añadir a la dirección la coletilla que va tras la extensión pdf, que es donde reside la sustancia del asunto).
¿Saltó la ventanita como en mi imagen? ¿Qué significa? Pues que te pueden lanzar cualquier javascript en tu máquina utilizando como inocente vector cualquier pdf de tu propio ordenador cuya localización sea estándar (como el del ejemplo lo es en la propia instalación de Acrobat Reader 7).
Y como expliqué en el caso anterior, esto es sólo una muestra, pero el código que te pueden hacer ejecutar vía un e-mail o un enlace en una web maliciosa puede ser mucho más maligno.
Conclusión: si piensas seguir utilizando el lector de Adobe, actualiza al menos cuanto antes a la versión 8.
El preocupante descubrimiento ha sido realizado por Rsnake.
- 6142 lecturas
Twitter
viva no-script
con firefox 2 y No-Script activado no salta la 'proof of concept'
Solución para Acrobat Reader 7
Aparentemente, se puede evitar el problema desactivando todas las opciones de internet y javascript en las preferencias de Acrobat Reader 7. Saludos.
Firefox si, explorer no
en Firefox 2 si aparece el mensaje, en Explorer 6 nada, sera?
Foxit Reader
No se si esto es una solucion, pero yo uso Foxit Reader. Un lector de PDF´s bastante ligero.
En mi caso con FF, no lee los pdfs en linea, sino q los baja directamente. Aunque hay un plugin de foxit para leer los pdf´s en linea con FF, no es recomendado...
Esta para windows y linux.
http://www.foxitsoftware.com/pdf/rd_intro.php
Saludos.
Lo mejor es
Lo mejor es, mirando en la URL, lo de:#joer=...joer con la vulnerabilidad :-)
Felipe...
Es para ver si me leéis de verdad ;)
Pues con Opera...
No estoy seguro de haberlo hecho bien, pero con Opera 9.10, con la configuracion por defecto, se queda pensando pero no cuelga el navegador.
To Be Continued...
To Be Continued...
Bueno, bueno...
Alguien ha dicho que:
"Esta vulnerabilidad sólo afecta a la plataforma Windows. Los usuarios de Mac, Linux, etc. no están afectados".
Supongo que el hecho de que solamente afecte a Windows, es una casualidad de esas que aparecen con una probabilidad de 1 entre 10.000.000.000 ;-).
Ya se que dirán que soy un talibán impresentable del SL, pero no me he podido aguantar.... es superior a mis fuerzas.
"Copyleft 2006 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".
Creo que estoy limpio...
Acabo de abrir un pdf local con las instrucciones anteriores y no aparece el aviso. Uso Firefox 1.5.0.9 con Kghostview para visualizar pdf. En una Gentoo GNU/Linux con KDE. Quizá sólo es vulnerable el Acrobat.
Como para no estarlo