|
|
|
|
|
|
|
|
作者:BlackWin… 文章来源:太平洋电脑网 点击数: 更新时间:2007-1-15 0:18:00  |
|
|
|
安全研究人员发现广泛使用的Adobe Acrobat Reader中存在跨站点脚本(XSS)隐患,利用这一漏洞攻击者能够很容易执行恶意代码。
这一漏洞在前段时间柏林举行的Chaos Communication Congress黑客会议上由安全研究人员Stefano Di Paola与Giorgio Fedon公布。攻击者只需简单地在在线PDF的URL中添加某些代码并使用户点击它就能控制Adobe Reader浏览器插件在客户端执行任意的JavaScript。
这个XSS隐患是由Adobe Reader的Open Parameters功能引起的,通过这个功能可以使用URL来打开PDF文件并指定所要显示的内容与显示的方式。
赛门铁克在一份安全公告中表示,因为Open Parameters功能存在于大多数版本的Adobe Reader与浏览器插件中,所以这次的XSS隐患可能会导致大范围针对客户端的攻击。
赛门铁克还提醒道,攻击者可以不费什么力气就能利用这个XSS隐患来窃取基于Cookie的认证密文并发起其它攻击。
目前Adobe还没就此事作出回应。
此次的隐患会影响到Windows IE 6平台下6.0.1版本的Adobe Reader和Windows+Firefox 2.0.0.1平台下版本为7.0.8的Adobe Reader,所幸Adobe在Adobe Reader 8中已经修复了这个问题。
安全机构Secunia建议用户尽快升级到Adobe Reader 8,但它并没有把这个隐患看的很严重,只把它列为“低危”级别。赛门铁克在10分制的标准中,把次漏洞的严重等级列为6.1分。
|
|
| 文摘录入:耀文 责任编辑:耀文 |
|
|
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
|
上一篇文摘: 危机潜伏 2007年十大安全威胁预言
下一篇文摘: 监测发现网银木马程序 可盗取个人网银账号密码 |
|
|
|
|
|
|
|
