【資訊新聞】 Adobe Reader外掛出現重大漏洞

[複製連結] 檢視: 1427|回覆: 0

jodenh

一般的鄉紳

電梯直達

1^#

發表於 07-1-4 22:15:00 |只看該作者 |降序瀏覽大字中字小字正體化简体化

Adobe Reader外掛出現重大漏洞

文/陳曉莉 (編譯) 2007-01-04

Adobe Reader的瀏覽器外掛程式可被用在客戶端執行JavaScript程式，SANS網路風暴中心表示，此一漏洞很容易就被攻陷，因為駭客只要在任何網路上可以找到的PDF檔連結加入惡意的JavaScript即可。

資安業者賽門鐵克（Symantec）在周三（1/3）提出警告，指出Adobe Reader的瀏覽器外掛程式有一個重大漏洞，使用者以瀏覽器觀看PDF檔時電腦可能會讓駭客掌控。

賽門鐵克研究人員Hon Lau表示，Adobe Reader的瀏覽器外掛程式可被用在客戶端執行JavaScript程式，而該外掛程式存有開放參數（Open Parameters）功能，該功能主要是讓使用者可透過網址開啟一個PDF檔案並規範內容顯示的方式。

此一漏洞讓駭客只要簡單地在任何網路上PDF檔的網址上加入程式碼並讓使用者點選該連結就能造成攻擊。Hon Lau指出，這使得任何放在網路上的PDF檔案都能夠被駭客拿來在受害者電腦上執行JavaScript程式，也意謂著即使是在網路上擁有PDF檔之受信賴的品牌或名稱可能都在無意中成為駭客的共犯。

賽門鐵克說明，開放參數功能存在於大多數的Adobe Reader應用程式及瀏覽器外掛程式中，這漏洞可導致cross-site scripting（XSS）攻擊。

SANS網路風暴中心表示，此一漏洞很容易就被攻陷，因為駭客根本不須撰寫存取PDF檔案的程式，只要在任何網路上可以找到的PDF檔連結加入惡意的JavaScript即可。

該漏洞存在於Adobe Reader外掛程式6及7版本，影響Mozilla Firefox、Opera及微軟IE等瀏覽器，可能導致阻斷式服務攻擊、允許遠端存取或執行惡意程式。

另一資安業者Secunia建議使用者昇級到Adobe Reader 8.0以解決該問題。（編譯/陳曉莉）

資料來源:http://www.ithome.com.tw/itadm/article.php?c=41349

轉播0 分享0 收藏0

回覆使用道具檢舉

最後更新返回清單

帳號		自動登入	取回密碼
密碼			註冊