Falha afeta todas as versões do Adobe Reader, incluindo a última versão, a 11.0.2
A McAfee diz ter encontrado uma vulnerabilidade no Adobe Reader que revela quando e onde um documento PDF é aberto. Não é um problema grave e não permite a execução remota de código, ressalva Haifei Li, responsável do fabricante em um post no blog da McAfee.
Mas é um problema de segurança que requer cuidado. Razão pela qual a McAfee ter notificado a Adobe. a falha afeta todas as versões do Adobe Reader, incluindo a última versão, a 11.0.2, diz Li.
A empresa de segurança reteve alguns detalhes importantes da vulnerabilidade, descreveu-a em termos gerais. O problema ocorre quando alguém executa um link para outro arquivo que use uma API JavaScript. O software de leitura avisa normalmente ao usuário quando recorre a um recurso de outro site, como na Internet.
Se o recurso externo não existir, o aviso não aparece, mas a API faz retornar algum tráfego TCP, explica Li. Ao manipular um segundo parâmetro com um valor especial, o comportamento da API pode ser mudado de modo a revelar informações como a localização de um documento em um sistema, avisa Li.
“Remetentes mal intencionados podem explorar esta vulnerabilidade para recolher informações sensíveis, tais como o endereço IP, o nome do prestador de serviços de Internet ou mesmo a rotina de utilização da vítima”, explicou o responsável. “Além disso, a nossa análise sugere ser possível recolher mais informações recorrendo a várias API JavaSripts”.
A solução imediata é desativar as funcionalidades JavaScript.
Nenhum comentário:
Postar um comentário
deixe aqui seu comentário