2007年1月5日 星期五

Universal XSS with PDF files

繼 Microsoft Office 家族的 word、excel 等文件格式出現問題以來,本以為只剩下 pdf 檔可以令人安心的開啟,但想不到現在連 pdf 也出包了。

攻擊者可以在 pdf 檔中假造足以亂真的信賴連結,一旦點入連結就會啟動惡意JavaScript程式碼XSS)。 之所以有此一安全問題是因為Acrobat Reader的瀏覽器外掛程式可允許連結至PDF檔案的程式能加掛JavaScript,好讓連結一旦被點選後就能開始執行。(WhiteHat Security技術長Jeremiah Grossman表示。)

解決方法(任一皆可):

  1. 不要開啟瀏覽器的 pdf 外掛,所有 pdf 一律另存下載回電腦再開。

  2. 升級至 Acrobat Reader 8

  3. 改用 Foxit Reader


細節:

沒有留言:

張貼留言