Exploits PDF: Historias para no dormir

No nos hemos recuperado aún del susto cuando ya empiezan a aflorar las peores ideas.

Por ejemplo, GNUCITIZEN acaba de publicar con bastante detalle cómo explotar la nueva vulnerabilidad, ocultando la URL maligna en URLs aparentemente inofensivas, camuflando la extensión pdf, o incluso en frames ocultos, que ni siquiera necesitan que se haga clic en nada, ya que pueden cargarse varios al entrar en según qué sitios, encargándose cada uno de ellos de capturar tu identificador para cualquier posible sesión que pudieras tener abierta en ese momento, a fin de acceder a tus recursos o suplantarte...

La explotación local recién revelada podría permitir el envío de ficheros privados a cualquier URL.

Y por último -de momento- incluso se esboza la posibilidad de lanzar un gusano Web de impredecibles consecuencias.

Todo ello lleva a GNUCITIZEN a calificar este bug como "una de las peores cosas que le han ocurrido a la Web."

Empezamos bien el año.

• Universal PDF XSS after party [GNUCITIZEN]