Esto de la inseguridad avanza a pasos agigantados. Ya no estamos seguros ni con los hasta ahora eran la panacea de la seguridad, los pdfs. Se acaba de descubrir una vulnerabilidad que permite realizar ataques XSS sobre pdfs a través del navegador web y siempre mediante el plugin que éste incorpora para las versiones 6 y 7.
Pero antes de seguir un ejemplo: Añadan #FDF=javascript:alert(’Ejemplo de ataque XSS’) a una URL que contenga un pdf (no digo uno en concreto para no molestar a nadie) y comprueben.
Más ejemplos de qué se puede hacer en wisec.

¿Qué hacer?

1.- Desde el punto de vista del usuario. Descargar el plugin de la 8.
2.- Desde el punto de vista del webmaster en kriptopolis nos dan una solución para obligar a descargar el pdf y no abrirlo desde el navegador:
SetEnvIf Request_URI “\.pdf$” requested_pdf=pdf
Header add Content-Disposition “Attachment” env=requested_pdf

Este post fue publicado el 04.01.2007 a las 10:27 am y guardado en Seguridad, Internet, General. Puedes dejar un comentario, o hacer un trackback desde tu weblog.