Will New Technology Replace Jobs and Result in Greater Economic Freedom?
McAfee uvedl, že nalezl chybu v programu Adobe Systems Reader, který ukazuje, kdy a kde se otevře dokument PDF.
Problém není vážným problémem a neumožňuje vzdálené spuštění kódu, napsal McAfee je Haifei Li v příspěvku na blogu. Ale společnost McAfee ji považuje za bezpečnostní problém a oznámila společnosti Adobe. Ovlivňuje každou verzi aplikace Adobe Reader, včetně nejnovější verze, 11.0.2, píše Li.
McAfee nedávno odhalil některé "neobvyklé" vzorky PDF, napsal Li. McAfee odmítl některé klíčové informace o chybě zabezpečení, ale obecně to popsal.
[Další informace: Jak odstranit malware z počítače se systémem Windows]
K problému dochází, když někdo spustí odkaz na jinou cestu k souboru, rozhraní API jazyka JavaScript (aplikační programovací rozhraní). Čtenář varuje uživatele, když se chystá volat prostředek z jiného místa, například odkaz na Internetu.
Pokud externí prostředek neexistuje, varovné dialogové okno se nezobrazí, ale rozhraní API vrátí nějaký přenos TCP, Píše Li. Manipulací s druhým parametrem se zvláštní hodnotou se chování API změní, aby se zobrazily informace. To by mohlo zahrnovat informace, jako je umístění dokumentu v systému "voláním hodnoty JavaScript this.path", napsal Li.
"Škodlivé odesílatelé by mohli tuto chybu zabezpečení zneužít ke shromažďování citlivých informací, jako je adresa IP, Internet poskytovatele služeb nebo dokonce i počítačové rutiny oběti, "napsal Li. "Navíc naše analýza naznačuje, že by bylo možné shromáždit více informací tím, že zavoláme různá rozhraní API pro jazyk PDF JavaScript."
Li navrhuje, že by problém mohl být použit k průzkumu útočníků.
"Někteří lidé by mohli tuto záležitost využívat jen z kuriozity aby zjistili, kdo otevřel své dokumenty PDF, ale ostatní se tam nezastaví, "napsal Li. "Útok APT [advanced persistent threat] se obvykle skládá z několika sofistikovaných kroků: první krok často sbírá informace od oběti, tento problém otevírá dveře."
McAfee navrhuje, aby uživatelé Adobe Readeru zakázali JavaScript,. Na komentář nemohli být okamžitě informováni úředníci společnosti Adobe
Zabezpečení, zabezpečení a zabezpečení
Bezpečnostní zprávy dominovaly tento týden a to bude nepochybně i příští týden. ...
Výzkumní pracovníci vysvětlují chybu zabezpečení v číslech sociálního zabezpečení
Výzkumní pracovníci společnosti Carnegie Mellon University zjistili, jak odhadnout vaše číslo sociálního zabezpečení na základě vašeho data narození místo narození
Aplikace Aplikace Aplikace Aplikace Aplikace pro volání je skvělá pro základní editaci fotografií
Jednou z hlavních věcí, které Microsoft tlačí v systému Windows 10 je Obchod . Od uvedení Windows do provozu před 8 lety jsme zjistili, že je těžké najít něco, co je k dispozici.