Continua por resolver um erro de segurança nas aplicações que editam e visualizam documentos PDF detectado em meados de Janeiro e que, de acordo com especialistas, é muito mais perigoso do que inicialmente se supunha. A Adobe Systems conhece a vulnerabilidade localizada nas aplicações Reader e Acrobat desde meados de Janeiro, mas só deverá disponibilizar uma correcção para o problema durante o corrente mês.
O erro de segurança chegou ao conhecimento dos meios de comunicação há duas semanas, quando a Adobe confirmou o problema e classificou-o de crítico. Embora a companhia tenha recomendado aos utilizadores a desactivação das funções de JavaScript no Reader e no Acrobat para se protegerem contra potenciais ataques, alguns analistas do mercado garantem que esta medida já não é eficaz.
Na semana passada, a empresa de segurança dinamarquesa Secunia assegurava que era possível explorar este erro de segurança recorrendo a uma técnica que não está relacionada com JavaScript. “Durante a nossa análise ao problema, fizemos um teste em que tirámos partido da falha de segurança com êxito sem utilizar JavaScript, pelo que os utilizadores podem ver assim comprometida a sua segurança”, explica Carsten Eiram, responsável da companhia.
Uma experiência partilhada por outros peritos de segurança que já vieram a público fazer afirmações semelhantes. David Aitel, fundador e CTO da Immunity, disse, por exemplo, que "este problema é mais sério do que se julga. No dia seguinte, o investigador em segurança Didier Stevens, da Bélgica, veio afirmar que também ele conseguiu explorar a vulnerabilidade, activando o bug sem recurso ao JavaScript, tendo depois publicado as conclusões do seu teste num blogue. Esta exploração em concreto funciona em pano de fundo, não sendo sequer necessário que um utilizador abra um ficheiro PDF com problemas.
"Em determinadas circunstâncias, uma Shell Extension do Windows Explorer lê um documento PDF e fornece informações extra, executando assim o código com o problema de segurança e accionando a vulnerabilidade", diz Didier Stevens no seu blogue.
E a Adobe já tem conhecimento que o seu conselho de desactivar as funções JavaScript pode não servir para nada. Numa entrevista recente, Brad Arkin, director da Adobe para a segurança dos produtos, admitiu que apenas uma correcção emitida pela companhia poderia verdadeiramente proteger os utilizadores. "Desactivar o JavaScript não resolve totalmente o problema, mas protege os utilizadores contra um tipo de ataque. Pelo que sabemos até ao momento, não há qualquer configuração de produto que possa ser feita para eliminar esta falha", admitiu o responsável.
O erro de segurança chegou ao conhecimento dos meios de comunicação há duas semanas, quando a Adobe confirmou o problema e classificou-o de crítico. Embora a companhia tenha recomendado aos utilizadores a desactivação das funções de JavaScript no Reader e no Acrobat para se protegerem contra potenciais ataques, alguns analistas do mercado garantem que esta medida já não é eficaz.
Na semana passada, a empresa de segurança dinamarquesa Secunia assegurava que era possível explorar este erro de segurança recorrendo a uma técnica que não está relacionada com JavaScript. “Durante a nossa análise ao problema, fizemos um teste em que tirámos partido da falha de segurança com êxito sem utilizar JavaScript, pelo que os utilizadores podem ver assim comprometida a sua segurança”, explica Carsten Eiram, responsável da companhia.
Uma experiência partilhada por outros peritos de segurança que já vieram a público fazer afirmações semelhantes. David Aitel, fundador e CTO da Immunity, disse, por exemplo, que "este problema é mais sério do que se julga. No dia seguinte, o investigador em segurança Didier Stevens, da Bélgica, veio afirmar que também ele conseguiu explorar a vulnerabilidade, activando o bug sem recurso ao JavaScript, tendo depois publicado as conclusões do seu teste num blogue. Esta exploração em concreto funciona em pano de fundo, não sendo sequer necessário que um utilizador abra um ficheiro PDF com problemas.
"Em determinadas circunstâncias, uma Shell Extension do Windows Explorer lê um documento PDF e fornece informações extra, executando assim o código com o problema de segurança e accionando a vulnerabilidade", diz Didier Stevens no seu blogue.
E a Adobe já tem conhecimento que o seu conselho de desactivar as funções JavaScript pode não servir para nada. Numa entrevista recente, Brad Arkin, director da Adobe para a segurança dos produtos, admitiu que apenas uma correcção emitida pela companhia poderia verdadeiramente proteger os utilizadores. "Desactivar o JavaScript não resolve totalmente o problema, mas protege os utilizadores contra um tipo de ataque. Pelo que sabemos até ao momento, não há qualquer configuração de produto que possa ser feita para eliminar esta falha", admitiu o responsável.
Nenhum comentário:
Postar um comentário