recientes de Adobe Reader (anteriormente conocido como Acrobat Reader)
por la que un atacante remoto podría descubrir la existencia de
archivos en el sistema remoto e incluso llegar a leer determinados
tipos de archivos.
El problema se debe a un tipo de ataques conocido como XML External
Entity (XXE). Las versiones recientes de Adobe Reader permiten la
inclusión de código JavaScript en los archivos pdf. De igual forma, a
través de JavaScript se pueden incluir documetos XML dentro del pdf.
Estos documentos XML pueden hacer referencia a entidades externas
(External Entities) a través de URIs, y la mayoría de los analizadores
XML, incluido el empleado en Adobe Reader, permiten el acceso a
cualquier URI para entidades externas, incluidos archivos, a menos que
se diga específicamente lo contrario.
Para solucionar el problema Adobe ha publicado la versión 7.0.2 para
Windows, disponible en http://www.adobe.com/support/downloads/
En breve estará disponible la versión actualizada del lector para Mac
OS, hasta dicha publicación se recomienda desactivar el soporte
JavaScript.
Antonio Ropero
antonior@hispasec.com
antonior@hispasec.com
Más información:
XML External Entity vulnerability (Adobe Reader and Acrobat 7.0-7.0.1)
http://www.adobe.com/support/techdocs/331710.html
Adobe Reader 7 XML External Entity (XXE) Attack
http://www.securiteam.com/securitynews/5XP0B2KG0Q.html
No hay comentarios:
Publicar un comentario