Hlavní navigace

Bezpečnostní chyba v Adobe Readeru

Petr Krčmář

Pánové Stefano Di Paola a Giorgio Fedon objevili nepříjemnou chybu v Adobe Readeru, která umožňuje s pomocí pluginu v prohlížeči propašovat k uživateli cizí JavaScript kód. Problém je ve špatném vstupu, který nedostatečně ošetřuje data předávána mezi pluginem a prohlížečem.

Stačí tak použít jednoduchou syntaxi: http://[host]/[fi­lename].pdf#tes­t=javascript a kód bude spuštěn v kontextu stránky, na které je hostován uvedený PDF soubor. Útočník samozřejmě nemusí mít k souboru právo zápisu.

Chyba byla potvrzena v Adobe Readeru verzi 6.0.1 pro Internet Explorer 6 a verzi 7.0.8 a Firefox 2.0.0.1. Ohroženy mohou být ale i další verze. Řešením je upgrade na Adobe Reader verze 8.

Našli jste v článku chybu?