Universal XSS with PDF files
繼 Microsoft Office 家族的 word、excel 等文件格式出現問題以來,本以為只剩下 pdf 檔可以令人安心的開啟,但想不到現在連 pdf 也出包了。
攻擊者可以在 pdf 檔中假造足以亂真的信賴連結,一旦點入連結就會啟動惡意JavaScript程式碼(XSS)。 之所以有此一安全問題是因為Acrobat Reader的瀏覽器外掛程式可允許連結至PDF檔案的程式能加掛JavaScript,好讓連結一旦被點選後就能開始執行。(WhiteHat Security技術長Jeremiah Grossman表示。)
解決方法(任一皆可):
- 不要開啟瀏覽器的 pdf 外掛,所有 pdf 一律另存下載回電腦再開。
- 升級至 Acrobat Reader 8
- 改用 Foxit Reader
細節:
- Universal XSS with PDF files: highly dangerous
- Taiwan.CNET:Acrobat漏洞可能引發Web攻擊
- Taiwan.CNET:駭客能入侵整台電腦 PDF安全問題比預估嚴重
發佈留言
很抱歉,必須登入網站才能發佈留言。