image

PDF lek geeft aanvallers toegang tot harde schijf

vrijdag 5 januari 2007, 10:34 door Redactie, 20 reacties

Het lek in de PDF-plugin waar woensdag voor werd gewaarschuwd is veel gevaarlijker dan in eerste instantie werd aangenomen. Zoals een bezoeker gisteren al opmerkte kan de kwetsbaarheid namelijk gebruikt worden voor het lezen van bestanden op de hardeschijf. Het enige wat de aanvaller moet weten is de lokatie van een lokaal PDF bestand, en dat is dankzij allerlei standaard installaties niet moeilijk. Een aanvaller gebruikt dit bestand dan in combinatie met een aantal parameters, en het is wachten totdat iemand de link opent.

Door de aanval kan een aanvaller via JavaScript de bestanden van de gebruiker lezen, die verwijderen, programma's uitvoeren en informatie stelen. Het probleem bevindt zich in de Firefox Adobe Reader Plugin en oude versies van Adobe Reader. Gebruikers wordt daarom aangeraden te upgraden naar Adobe Reader 8.0, een ander PDF programma te kiezen en bestanden eerst lokaal op te slaan voor ze te openen.

Reacties (20)
05-01-2007, 10:46 door Anonl3m
Wat is de overtreffende trap van "levensgevaarlijk"?
Nog gevaarlijker?
http://www.security.nl/article/15151/1/PDF_browser_plugin_levensgevaarlijk.html
05-01-2007, 10:50 door G-Force
Door Anonl3m
Wat is de overtreffende trap van "levensgevaarlijk"?
Nog gevaarlijker?
http://www.security.nl/article/15151/1/PDF_browser_plugin_levensgevaarlijk.html

De overtreffende trap van levensgevaarlijk is... levensgevaarlijkst
05-01-2007, 11:07 door Anoniem
Uitkijken, PDF-link checken voor je er op klikt...
05-01-2007, 11:48 door Anoniem
Gewoon nooit op pdf links klikken via urls
05-01-2007, 12:09 door Anoniem
Door Koekie
Gewoon nooit op pdf links klikken via urls
Dit is nutteloos advies. Zonder in de statusbalk te kijken
weet je bij het merendeel van de sites niet waar een link
heen gaat. Ga jij maar aan een gebruiker uitleggen dat 'ie
niet meer een pdf in de browser mag bekijken maar nu het
ding eerst moet downloaden en vervolgens op de harde schijf
opzoeken en openen met de daartoe bestemde reader.
05-01-2007, 12:22 door LaFolie
En dan te bedenken dat .pdf geintroduceerd werd als een
veilig .doc alternatief
05-01-2007, 12:35 door fd0
Door LaFolie
En dan te bedenken dat .pdf geintroduceerd werd als een
veilig .doc alternatief
Dat was ook zo tot er allerlei executeerbare meuk in werd
gestopt onder het mom van de vooruitgang
05-01-2007, 13:19 door Anoniem
Je kunt ook niet op de status balk afgaan.
#.htaccess
RewriteEngine On
RewriteRule *.(mp3)$ http://www.test.com/test.pdf

als je dan de volgende link hebt

http://fubar/iets.mp3#something=javascript:code

Als de gebruiker op deze link klikt zal de code op test.com
uitgevoerd worden. Vertrouw de statusbalk dus niet zomaar
05-01-2007, 15:40 door Anoniem
Ga jij maar aan een gebruiker uitleggen dat 'ie
niet meer een pdf in de browser mag bekijken maar nu het
ding eerst moet downloaden en vervolgens op de harde schijf
opzoeken en openen met de daartoe bestemde reader.

Je kan het toch altijd goeien op dat er trojans in zitten of weet ik het waar
door de kans groter is dat er trojaanse paarden binnen komen waardoor
mail makkelijker te lezen is.Moe jij eens kijken hoe snel ze het allemaal
downloaden.Helemaal met die bali nichten die prive mail sturen via het
bedrijfs netwerk.
05-01-2007, 15:42 door Anoniem
Ik geloof dat ik maar kalm blijf,anders blijf je verbouwen .
En elke dag een ander gevaar.
Hier wordt je niet vrolijk van.
Overigens,een botsing met de auto heb je ook elke dag kans op.
05-01-2007, 17:46 door Anoniem
Door LaFolie
En dan te bedenken dat .pdf geintroduceerd werd als een
veilig .doc alternatief

Het is Firefox die het probleem heeft, niet pdf! Gewoon overstappen op
Microsoft IE7 en je bent weer veilig :-)
05-01-2007, 17:54 door G-Force
Gebruikers wordt daarom aangeraden te upgraden naar
Adobe Reader 8.0,

Er is dus wél een remedie tegen. Iedereen dus upgraden naar versie 8.0...

Download-plaats: http://www.adobe.com/products/reader/
05-01-2007, 23:00 door Anoniem
Of het ligt aan IE-7 ,Maar de download die Peter aangaf wordt
door Windows geblokt.
05-01-2007, 23:17 door holwortel
Waarom niet gewoon FoxitReader?
Opent PDF-jes nog sneller ook.
05-01-2007, 23:27 door Anoniem
Heb ik al eens gehad,maar werkte niet goed.
Of moet je eerst alles van Adobe verwijderen?
06-01-2007, 00:03 door Anoniem
Door Beukenoot
Of het ligt aan IE-7 ,Maar de download die Peter aangaf wordt
door Windows geblokt.

Met IE7 ben je al veilig. Het is aleen in cominatie met FF dat het mis gaat.

Als dit IE was geweest dan was het een IE bug, nu het FF is is het
natuurlijk een pdf bug.
06-01-2007, 01:40 door Anoniem
Door Anonl3m
Wat is de overtreffende trap van "levensgevaarlijk"?
Nog gevaarlijker?
http://www.security.nl/article/15151/1/PDF_browser_plugin_levensgevaarlijk.html

levensgevaarlijk > levensgevaarlijker > levensgevaarlijkst
06-01-2007, 10:47 door holwortel
Door Beukenoot
Heb ik al eens gehad,maar werkte niet goed.
Of moet je eerst alles van Adobe verwijderen?

FoxitReader is naast Adobe Reader te gebruiken, maar omdat
ik Adobe Reader niet meer gebruikte is het, toen een nieuwe
versie verscheen , van de computer verwijderd, maakte weer
ruimte vrij op de harde schijf ;-).
07-01-2007, 18:07 door Ronald van den Heetkamp
De Apache mod_rewrite patch werkt niet. Ik dacht ook eerst
dat het een oplossing was om een rewriterule aan te maken.
Ik vergat tussendoor dat het 'anker' # niet naar de
webserver wordt verzonden. Die blijft zogezegd alleen in de
URL. alles na het anker is clientside uitvoerbaar. Er is dus
geen server-side oplossing, ook geen firewall oplossing helaas.

Ik heb vandaag een artikel geschreven op mijn weblog hoe
phishers deze fout kunnen misbruiken en bijvoorbeeld je per
mail een link te sturen waar als je op klikt, ze automatisch
een FireFox extensie sturen die direct geinstaleerd kan
worden. Dit is enorm gevaarlijk. Het is dus goed opletten.

in FireFox kun je trouwens aangeven dat PDF bestanden moeten
worden ge-download ipv openen in je browser.
08-01-2007, 09:16 door koekblik
Door Jungsonn
De Apache mod_rewrite patch werkt niet.

Welke patch heb je het over?

in FireFox kun je trouwens aangeven dat PDF bestanden
moeten worden ge-download ipv openen in je browser.

Dit is ook server-side te doen, zie
http://www.stuvel.eu/pdfdownload
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.