Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Megint az Adobe Reader... - Frissítve

2009.04.28. 18:15 | buherator | Szólj hozzá!

Nem voltam különösebben elragadtatva a múlt héten agyonhypeolt hírtől, miszerint bizonyos Mikko Hyppönen azt találta mondani az idei RSA konfon, hogy ne használjunk Adobe Readert, mert nem biztonságos. Nem vagyok egy Adobe fanboi vagy ilyesmi, de érzésem szerint a cirkusz ismét amiatt zajlik éppen ekörül a gyártó körül, mert az ő termékét használják a legtöbben.

Minden esetre meg kell hagyni, az Adobe Reader nem fogja elnyerni a minden idők legbiztonságosabb szoftvere címet: újabb javítatlan, kódfuttatásra alkalmat adó sebezhetőséget találtak ugyanis az olvasó 9.1-es és 8.1.4-es változataiban. A problémát most a getAnnots() JavaScript függvény hibája okozza.

Nem tudom ti hogy vagytok vele, de én még böngészés közben sem szívesen futtatok JavaScriptet, PDF olvasás közben meg aztán végképp nem akarom, hogy mindenféle programok futkorásszanak a (virtuális) papírom...ban. Főleg nem olyanok, amiket az adott dokumentum készítője saját kénye-kedve szerint pakolt össze. És ezek az érvek sem győztek meg. NoScriptet a PDF olvasókba, de talán jobb lenne elfelejteni ezt az egész szkriptelgetős marhaságot! Főleg ha nem képesek biztonságosan implementálni.

Frissítés:

Nem egy, hanem rögtön két sebezhetőségről van szó, bár utóbbiról nem sok infót találtam egyelőre, leszámítva a SANS bejelentését, miszerint a bajt a Dictionary funkcióban található puffer túlcsordulást előidéző hiba okozza. További pontosítás, hogy a 7-es széria is érintett, valamint kiemelném, hogy a nyilvánosságra hozott exploit Linuxra lett írva. Az Adobe a JavaScript kikapcsolását javasolja (Szerkesztés(Edit) -> Tulajdonságok(Preferencies) -> JavaScript).

Exploit van itt és itt.

Címkék: bug 0day adobe reader

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.