Ataque PDF (II): Y en tu ordenador, también

Enviado por admin el 4. Enero 2007 - 18:43.

Por si acaso a alguien le quedaban dudas sobre si los sitios web tenían alguna responsabilidad en la vulnerabilidad UXSS que nos ha regalado Adobe al empezar el año, aquí llega la prueba del algodón.

Resulta que el ataque también funciona en local, es decir, sin necesidad siquiera de utilizar ningún web como inocente intermediario...

Lo puedes comprobar tú mismo. Si tienes Firefox/Opera en Windows y utilizas aún Acrobat 7, carga en tu navegador la siguiente dirección (en una línea):

file:///C:/Archivos%20de%20programa/Adobe/
Acrobat%207.0/Resource/ENUtxt.pdf#joer=
javascript:alert(%22Vulnerable!%22);

(Ojo: la dirección puede variar según tu instalación o idioma, pero puedes localizar ese pdf en tu ordenador navegando un poco; antes de cargarlo en el navegador no olvides añadir a la dirección la coletilla que va tras la extensión pdf, que es donde reside la sustancia del asunto).

¿Saltó la ventanita como en mi imagen? ¿Qué significa? Pues que te pueden lanzar cualquier javascript en tu máquina utilizando como inocente vector cualquier pdf de tu propio ordenador cuya localización sea estándar (como el del ejemplo lo es en la propia instalación de Acrobat Reader 7).

Y como expliqué en el caso anterior, esto es sólo una muestra, pero el código que te pueden hacer ejecutar vía un e-mail o un enlace en una web maliciosa puede ser mucho más maligno.

Conclusión: si piensas seguir utilizando el lector de Adobe, actualiza al menos cuanto antes a la versión 8.

El preocupante descubrimiento ha sido realizado por Rsnake.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

viva no-script

Enviado por maestro pertxas el 4. Enero 2007 - 19:13.

con firefox 2 y No-Script activado no salta la 'proof of concept'

Solución para Acrobat Reader 7

Enviado por El Nigromante el 4. Enero 2007 - 19:19.

Aparentemente, se puede evitar el problema desactivando todas las opciones de internet y javascript en las preferencias de Acrobat Reader 7. Saludos.

Firefox si, explorer no

Enviado por Eru el 4. Enero 2007 - 19:28.

en Firefox 2 si aparece el mensaje, en Explorer 6 nada, sera?

Foxit Reader

Enviado por Voynich el 4. Enero 2007 - 19:29.

No se si esto es una solucion, pero yo uso Foxit Reader. Un lector de PDF´s bastante ligero.
En mi caso con FF, no lee los pdfs en linea, sino q los baja directamente. Aunque hay un plugin de foxit para leer los pdf´s en linea con FF, no es recomendado...

Esta para windows y linux.
http://www.foxitsoftware.com/pdf/rd_intro.php
Saludos.

Lo mejor es

Enviado por felipe_alfaro el 4. Enero 2007 - 20:20.

Lo mejor es, mirando en la URL, lo de:#joer=...joer con la vulnerabilidad :-)

Felipe...

Enviado por admin el 4. Enero 2007 - 20:25.

Es para ver si me leéis de verdad ;)

Pues con Opera...

Enviado por Tiberius el 4. Enero 2007 - 21:06.

No estoy seguro de haberlo hecho bien, pero con Opera 9.10, con la configuracion por defecto, se queda pensando pero no cuelga el navegador.

To Be Continued...

Bueno, bueno...

Enviado por Fernando Acero el 4. Enero 2007 - 21:13.

Alguien ha dicho que:

"Esta vulnerabilidad sólo afecta a la plataforma Windows. Los usuarios de Mac, Linux, etc. no están afectados".

Supongo que el hecho de que solamente afecte a Windows, es una casualidad de esas que aparecen con una probabilidad de 1 entre 10.000.000.000 ;-).

Ya se que dirán que soy un talibán impresentable del SL, pero no me he podido aguantar.... es superior a mis fuerzas.

"Copyleft 2006 Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Creo que estoy limpio...

Enviado por cutty el 4. Enero 2007 - 21:24.

Acabo de abrir un pdf local con las instrucciones anteriores y no aparece el aviso. Uso Firefox 1.5.0.9 con Kghostview para visualizar pdf. En una Gentoo GNU/Linux con KDE. Quizá sólo es vulnerable el Acrobat.

Como para no estarlo

Enviado por admin el 4. Enero 2007 - 21:48.

Si tienes Firefox/Opera en Windows y utilizas aún Acrobat 7...

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
3 + 2 =
Resuelve esta sencilla operación e introduce el resultado.