Nieuws
image

PDF bestanden openen met Adobe nog steeds gevaarlijk

donderdag 1 maart 2007, 12:59 door Redactie, 9 reacties

Ondanks verschillende beveiligingspatches is het openen van PDF bestanden met de software van Adobe nog steeds niet zonder gevaar. Onderzoekers hebben ontdekt dat het mogelijk is om via file:// URL's JavaScript aan te roepen waarmee vertrouwelijke informatie gestolen kan worden. Ook is het nog steeds mogelijk om cross-site scripting aanvallen uit te voeren via machines waar PDF bestanden zijn opgeslagen.

Eerder werd bekend dat het mogelijk was om een achterdeur in PDF bestanden te verstoppen en ervoor te zorgen dat er automatisch bepaalde URL's werden geladen. Adobe nam het gevaar volgens de onderzoeker niet serieus, en kwam met een halve oplossing. Gebruikers wordt nu gevraagd of ze een externe link willen laden.

Verder onderzoek wijst uit dat het automatisch laden van file:// protocol URL's nog steeds mogelijk is. Als deze URL's geladen worden kunnen JavaScript objecten het bestandssysteem "listen", en zo vertrouwelijke informatie achterhalen en bijvoorbeeld doorsturen naar een bepaald e-mailadres.

Een groot risico, aldus de onderzoeker, die deze demonstratie online zette, waarmee gebruikers de verschillende problemen kunnen testen.

Reacties (9)
01-03-2007, 15:42 door G-Force
Leuk...Java. Maar er is geen PoC te zien als NoScript van
Firefox aanstaat en al helemaal niet als Java in de Reader
is uitgeschakeld.
01-03-2007, 17:35 door Anoniem
Javascript is iets anders dan java... *mopper* *sputter*
01-03-2007, 17:54 door Bitwiper
Door Peter V. op donderdag 01 maart 2007 15:42
Leuk...Java. Maar er is geen PoC te zien als NoScript van Firefox aanstaat en al helemaal niet als Java in de Reader is uitgeschakeld.
Peter, Java en JavaScript hebben niets met elkaar te maken.

En ik zou in dit geval niet zomaar op NoScript in Firefox durven vertrouwen, omdat de eventuele scripts die in Firefox worden uitgevoerd niet van het web afkomstig zijn (maar van een file op je harde schijf). Firefox zelf bestaat voor een groot deel uit JavaScript. Als NoScript dat zou tegenhouden zou Firefox niet werken.
01-03-2007, 18:47 door Anoniem
Foxit PDF-reader dan maar gebruiken. In ieder gaval zolang
Adobe niet met een oplossing komt
01-03-2007, 22:12 door Zarco.nl
JavaScript in Adobe Reader is het eerst wat ik uitschakel na
een installatie.
Het heeft voor mij geen enkele toegevoegde waarde en gevaar
voor misbruik is maar al te goed aanwezig.
02-03-2007, 08:20 door Anoniem
Door Erik van Straten
Door Peter V. op donderdag 01 maart 2007 15:42
Leuk...Java. Maar er is geen PoC te zien als NoScript van Firefox aanstaat
en al helemaal niet als Java in de Reader is uitgeschakeld.
Peter,
Java en JavaScript hebben niets met elkaar te maken.

En ik zou in dit geval niet zomaar op NoScript in Firefox durven vertrouwen,
omdat de eventuele scripts die in Firefox worden uitgevoerd niet van het
web afkomstig zijn (maar van een file op je harde schijf). Firefox zelf
bestaat voor een groot deel uit JavaScript. Als NoScript dat zou
tegenhouden zou Firefox niet werken.

Daar heb je het al Peter! Niet weer direct op de proppen komen met
NoScript, we weten nu wel wat jij er van vind. Maar het helpt in dit geval dus
blijkbaar niet.
02-03-2007, 10:19 door Anoniem
Adobe word een beetje zoals microsoft. Lekken worden niet serieus
genomen en maar half gepatched.
03-03-2007, 15:12 door spatieman
foxit reader is de BOM !!!!!
03-03-2007, 19:12 door Bitwiper
Door Anoniem op vrijdag 02 maart 2007 08:20
Door Erik van Straten
...ik zou in dit geval niet zomaar op NoScript in Firefox durven vertrouwen, omdat de eventuele scripts die in Firefox worden uitgevoerd niet van het web afkomstig zijn...
Daar heb je het al Peter! Niet weer direct op de proppen komen met NoScript, we weten nu wel wat jij er van vind. Maar het helpt in dit geval dus blijkbaar niet.
Die stelling gaat mij te ver (dat schreef ik niet).

Echter, in de [url=http://isc.sans.org/diary.html?storyid=2340]'grabbelton'[/url] onderaan het dagboek van het Internet Storm Center van [url=http://isc.sans.org/diary.html?date=2007-03-02]gisteren[/url] valt onder meer te lezen:
There are a couple of interesting articles this week by folks who have managed to pull browser history without Javascript. We've often recommended the NoScript extension to Firefox, but even that isn't enough anymore. Check out the stories [url=http://ha.ckers.org/blog/20070228/steal-browser-history-without-javascript/]here[/url], [url=http://www.gnucitizen.org/blog/pdf-and-history-hacks]here[/url], [url=http://ha.ckers.org/weird/CSS-history.cgi]here[/url], and the "original" one [url=http://jeremiahgrossman.blogspot.com/2006/11/browser-port-scanning-without.html]here[/url].
NL: ook zonder JavaScript blijk je gegevens uit browsers te kunnen 'trekken'. Dus ziet het er, gezien de interesse van de 'community', naar uit dat dit verhaal nog wel een staart(je) gaat krijgen.

De tweede 'here' verwijst naar een page van PdP Architect (gnucitizen.org) waarin hij de [url=http://www.safehistory.com/]SafeHistory[/url] Firefox plugin noemt. Persoonlijk heb ik het niet zo op plugins, het is altijd maar weer de vraag wat die doen bij de eerstvolgende update, en of die -meestal goedbedoelde- security plugins geen nieuwe issues introduceren. Voordat iemand schrijft dat SafeHistory blijkbaar ;) je redder in nood is: ik heb geen idee, maar het lijkt wel betrouwbaar gezien [url=http://crypto.stanford.edu/sameorigin/]deze page[/url] bij de gerespecteerde Stanford university.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure