Ataques PDF, servidores y usuarios comprometidos

seguridad.gifEl tema trae cola, acabo de leerlo en Kriptópolis, se trata de una vulnerabilidad que afecta a la ejecución-lectura de archivos PDF.

En este caso ya no es que sea el usuario quien pueda estar en una situación de riesgo para su sistema que de hecho es así, el problema es que cualquier servidor que aloje un archivo PDF puede ser comprometido si no se toman las medidas oportunas.

Os pongo un resumen de lo que dice la noticia original;

«Debido a múltiples vulnerabilidades descubiertas en el plugin de Adobe Acrobat versiones 6.x y 7.x, los ficheros PDF (cualquier fichero pdf) se han revelado como (pull)el mejor vector de ataque(/pull) que pudiera imaginarse.

¿Qué sitio (incluyendo bancos, organismos oficiales, etc, etc.) no alberga algún pdf en sus servidores?

Si puede invocarse un PDF (cualquier pdf público, sin necesidad de tener permisos especiales) de forma que ejecute código javascript (cualquier código javascript), apaga y vámonos.»

En la información de Kriptópolis se dan algunas medidas paliativas para mitigar su impacto pero sin duda, como digo al principio, traerá cola…

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • InKiLiNo

    Juer, pues tendremos que ir con cuidado con los pdf, vaya tela.

  • Gepetto

    Creo que el problema no afecta a los servidores (me refiero a que no los compromete). Tu debes saber mejor que yo que un ataque XSS lo que hace es explotar una vulnerabidad en una máquina remota por medio de javascript (esto es, a través del navegador).

    Salu2.

  • Gepetto

    Para dejarlo un poco más claro, me refiero a que cuando abres el pdf (aunque sea en el servidor), primero lo descargas a tu equipo (o sea, que lo ejecutas en tu máquina, que es la que queda comprometida).

  • baviera

    :-o Esto da miedo.

    Y si se utiliza otro lector de pdf, ¿se acaba el problema? ¿me recomendáis alguno?

  • dabo

    Hola,mira esto Gepetto y leelo tu también Baviera, yo ayer ya hice limpieza de PDFs en el server -;)

  • dabo

    Hola,mira esto Gepetto y leelo tu también Baviera, yo ayer ya hice limpieza de PDFs en el server -;)

  • Gepetto

    En ese enlace se explica bien, pero en la cita de tu artículo ya se ve claramente que la vulnerabilidad es del plugin de Adobe y no del formato pdf, por lo que las medidas son más o menos evidentes (usuarios a actualizar o a dejar de abrir pdfs online, y webmasters a proteger a sus visitantes impidiendo el acceso a dichos documentos).

    La vulnerabilidad tiene tela, desde luego.

  • Gepetto

    Aquí dejo un código interesante (para que no parezca que entro sólo a tocar las pelotas :P):

    Eso deberia bastar para «obligar» al visitante a descargar el documento en vez de consultarlo online.

  • Gepetto

    (Pues parece que no se puede pegar código en los comentarios, ni siquiera entre las etiquetas code… En fin, me limitaré a tocar las pelotas XD).

  • dabo

    Por eso Gepetto puse lo del mejor vector de ataque pero ahora está todo más claro, lo del código ciertamente no lo permite por temas de seguridad -;)

    Un abrazote

Comentarios cerrados.