Is it a fake website?

Is it a fake website?

04 enero 2007

Ataque Universal XSS en PDFs

Vaya como hemos empezado el año en cuanto a seguridad web se refiere.
PDF es vulnerable a inyección XSS sin importar si tienes control sobre el archivo. Esto es, cualquier sitio con archivos PDF disponibles, es vulnerable a inyección XSS.

Podemos buscar pdfs en internet y realizar

La prueba: http://path/to/pdf/file.pdf#blah=javascript:alert(”XSS”);



Mi consejo es que sólo hagamos esto si tenemos algún sitio de nuestra propiedad donde poder testearlo más a fondo.

Simple, es realmente un tema muy delicado, cualquier redirección automática o consiguiendo que alguien haga click en un enlace, puede comprometer el sitio web si tienen el lector de Adobe PDF installado (practicamente todo el mundo lo tiene). Esta es una de las peores amenazas que he visto, ya que cualquier sitio web tiene PDFs, (documentación, ventas, formularios, cursos..).

Por ahora es vulnerable en:

    Ataque vulnerable sólo en sistemas Windows.
  • IE 6 SP 1 with version of Acro Reader older than 8.0
  • Firefox 2.0.0.1 win32
  • Firefox 1.5.0.8 win32
  • Opera 8.5.4 build 770 win32
  • Opera 9.10.8679 win32

Hasta ahora han dado varias soluciones,

1. Solución en el servidor. Que el servidor web trate los archivos .pdf como de tipo mime "application/octet", de esta forma los archivos serán salvados en disco en vez de abrirse con el plug in del navegador". Esto es:

SetEnvIf Request_URI ".pdf$" requested_pdf=pdf
Header add Content-Disposition "Attachment" env=requested_pdf

Se puede seguir el hilo de la lista de webappsec.
O en los comentarios de slashdot.
Y en castellano kriptópolis


Vía: ha.ckers

UPDATE: Leonard Rosenthol de Adobe Systems dice:

  • Esta vulnerabilidad sólo afecta a la plataforma Windows. Los usuarios de Mac, Linux, etc. no están afectados.
  • Encontramos esta vulnerabilidad nosotros mismos durante unas pruebas internas de seguridad testeando Acrobat, y hemos arreglado la vulnerabilidad en Acrobat / Reader 8 para Windows. Por ello los usuarios de Acrobat / Reader 8 (independientemente del navegador), NO ESTAN AFECTADOS.
  • Tenemos ya parches preparados para las versiones anteriores de Acrobat y las liberaremos tan pronto como esten listas para aplicarse. Esto será una solución para aquellos usuarios que por la causa que sea, no puedan actualizarse a Acrobat / Reader 8.
Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)