鐵之狂傲
標題:
Adobe Reader外掛出現重大漏洞
[列印本頁]
作者:
jodenh
時間:
07-1-4 22:15
標題:
Adobe Reader外掛出現重大漏洞
Adobe Reader外掛出現重大漏洞
文/陳曉莉 (編譯) 2007-01-04
Adobe Reader的瀏覽器外掛程式可被用在客戶端執行JavaScript程式,SANS網路風暴中心表示,此一漏洞很容易就被攻陷,因為駭客只要在任何網路上可以找到的PDF檔連結加入惡意的JavaScript即可。
資安業者賽門鐵克(Symantec)在周三(1/3)提出警告,指出Adobe Reader的瀏覽器外掛程式有一個重大漏洞,使用者以瀏覽器觀看PDF檔時電腦可能會讓駭客掌控。
賽門鐵克研究人員Hon Lau表示,Adobe Reader的瀏覽器外掛程式可被用在客戶端執行JavaScript程式,而該外掛程式存有開放參數(Open Parameters)功能,該功能主要是讓使用者可透過網址開啟一個PDF檔案並規範內容顯示的方式。
此一漏洞讓駭客只要簡單地在任何網路上PDF檔的網址上加入程式碼並讓使用者點選該連結就能造成攻擊。Hon Lau指出,這使得任何放在網路上的PDF檔案都能夠被駭客拿來在受害者電腦上執行JavaScript程式,也意謂著即使是在網路上擁有PDF檔之受信賴的品牌或名稱可能都在無意中成為駭客的共犯。
賽門鐵克說明,開放參數功能存在於大多數的Adobe Reader應用程式及瀏覽器外掛程式中,這漏洞可導致cross-site scripting(XSS)攻擊。
SANS網路風暴中心表示,此一漏洞很容易就被攻陷,因為駭客根本不須撰寫存取PDF檔案的程式,只要在任何網路上可以找到的PDF檔連結加入惡意的JavaScript即可。
該漏洞存在於Adobe Reader外掛程式6及7版本,影響Mozilla Firefox、Opera及微軟IE等瀏覽器,可能導致阻斷式服務攻擊、允許遠端存取或執行惡意程式。
另一資安業者Secunia建議使用者昇級到Adobe Reader 8.0以解決該問題。(編譯/陳曉莉)
資料來源:
http://www.ithome.com.tw/itadm/article.php?c=41349
歡迎光臨 鐵之狂傲 (https://gamez.com.tw/)