Adobe Acrobat en Adobe Reader lekken een beetje
Patch nog niet beschikbaar
Door een beveiligingslek in de programma's Adobe Acrobat en Adobe Reader, beiden in de 6.x versie, is het voor een kwaadwillende mogelijk om bestanden die lokaal zijn opgeslagen in te zien en via het internet door te sturen. Aldus een artikel op breekpunt.nl
Volgens Jelmer Kuperus, de ontdekker van het beveiligingslek, hoeft een kwaadwillende alleen maar een aangepast PDF-bestand op een populaire website te zetten. Wanneer een nietsvermoedende bezoeker dat PDF-bestand opent, en de kwaadwillende kent het pad waar dat PDF-bestand is opgeslagen, dan ligt het systeem open en kan de aanvaller zijn gang gaan.
De oorzaak van het beveiligingslek is terug te voeren naar de mogelijkheid om Macromedia Flash-bestanden op te nemen in een PDF-bestand. Wanneer een PDF-bestand met daarin een Flash-bestand wordt bekeken, wordt het Flash-bestand 'uitgepakt' naar een tijdelijke map.
Hoewel het tijdelijke bestand eigenlijk tegen toegang door onbevoegden beschermd zou moeten zijn, gebeurt dat niet.
Adobe heeft nog geen patch voor het probleem klaarstaan.
• Security Advisory van Jelmer Kuperus
Patch nog niet beschikbaar
Door een beveiligingslek in de programma's Adobe Acrobat en Adobe Reader, beiden in de 6.x versie, is het voor een kwaadwillende mogelijk om bestanden die lokaal zijn opgeslagen in te zien en via het internet door te sturen. Aldus een artikel op breekpunt.nl
Volgens Jelmer Kuperus, de ontdekker van het beveiligingslek, hoeft een kwaadwillende alleen maar een aangepast PDF-bestand op een populaire website te zetten. Wanneer een nietsvermoedende bezoeker dat PDF-bestand opent, en de kwaadwillende kent het pad waar dat PDF-bestand is opgeslagen, dan ligt het systeem open en kan de aanvaller zijn gang gaan.
De oorzaak van het beveiligingslek is terug te voeren naar de mogelijkheid om Macromedia Flash-bestanden op te nemen in een PDF-bestand. Wanneer een PDF-bestand met daarin een Flash-bestand wordt bekeken, wordt het Flash-bestand 'uitgepakt' naar een tijdelijke map.
Hoewel het tijdelijke bestand eigenlijk tegen toegang door onbevoegden beschermd zou moeten zijn, gebeurt dat niet.
Adobe heeft nog geen patch voor het probleem klaarstaan.
• Security Advisory van Jelmer Kuperus
