E' di queste ore la notizia che uno dei più noti e più utilizzati software in circolazione, Adobe Acrobat Reader, è vulnerabile ad un'attacco UXSS (Universal Cross Site Scripting).
In parole povere chiunque sia a conoscenza di questa vulnerabilità può sfruttarla a suo vantaggio per una moltitudine di sistuazioni che vanno dal furto dei cookies ad attacchi di Phishing vero e proprio.
Un paio di esempi per meglio comprendere il problema.
Test 1 - Test 2
Chiaramente nessun navigatore 'esperto' farebbe click su un link che contiene al suo interno una chiamata ad una funzione JavaScript vero?
Test 3
Questa vulnerabilità è stata scoperta da 2 Italiani, Stefano Di Paola e Giorgio Fedon ed illustrata durante la 23C3 security conference; eccovi il link al loro white paper dall'inquietante titolo 'Subverting Ajax'.
Chiudiamo dicendovi che al momento Adobe Acrobat Reader è vulnerabile fino alla versione 7.0 (inclusa)....peccato che la versione 8.0 al momento sia disponibile soltanto in inglese...
05 gennaio 2007
Iscriviti a:
Commenti sul post (Atom)
0 commenti:
Posta un commento