08/01/2007 15:27:08
Compact
מסתובבות שמועות שזו באקדור שאדובי הכניסה בכוונה. מה אתם אומרים? מי שלא מכיר עדיין,התגלה באג XSS חמור בקבצי PDF.מזריקים את הXSS במבנה הבא : http://www.web.com/file.pdf#AnyName=JavaScript:Code-here המון אתרים פגיעים לבאג הזה,גם אתרים ממשלתיים וכו’. יש כבר תוכנה שהבאג תוקן בה [מומלץ ביותר להוריד] : http://us01.foxitsoftware.com/foxitreader/foxitreader.zip
אז מה אתם אומרים?[ההודעה נערכה על-ידי Compact ב-08/01/2007 17:38:15]
08/01/2007 16:38:52
T4uSBaZ
OMG ניסיתי וזה באמת פועל :O (סתם קובץ) http://www.osh.org.il/uploadfiles/hok_takanot_nashim.pdf#any=JavaScript:alert(%22lol%22); לדעתי, רוב הסיכויים שהם השתילו את הפרצה, ותתחשב בעובדה שהתגלה כיום המון חברות שמכניסות סוסים טרוייאנים וכאלו למוצרים שלהם. [ההודעה נערכה על-ידי T4uSBaZ ב-08/01/2007 16:39:31]
08/01/2007 16:59:14
sysctl
ממש מטורף...! אחד השווים :)
ולפי דעתי לא מדובר במשהו שקרה בכוונה, אם הם היו רוצים להשיג גישה לאנשים שמשתמשים במוצר שלהם הם לא היו תוקעים איזה XSS מסריח(כשבמילא הרבה אתרים לא משתמשים בעוגיות), הם היו יכולים לשים משהו יותר רציני[ההודעה נערכה על-ידי sysctl ב-08/01/2007 17:01:16]
08/01/2007 20:47:13
Trancer
מסכים עם sysctl.. כמו שאומרים חבר’ה, it’s a feature, not a bug.. זה הפיצ’ר: http://partners.adobe.com/public/developer/en/acrobat/PDFOpenParameters.pdf כתבתי על זה בפורום של rec-sec: http://www.rec-sec.co.il/forum/read.php?5,49
09/01/2007 12:14:31
Compact
ואוו, זה ממש מטורף,המון אתרים פגיעים,כולל אתרים של בנקים. נראה לכם שזה יפגע באדובי?
09/01/2007 13:45:52
jukka
מי שלא ממש רוצה להשתמש ב-foxitreader, יכול פשוט להגדיר שקבצי PDF ודומיהן, לא יפתחו באמצעות הדפדפן, אלא ישמר במחשב. ככה הדפדפן לא ינסה להריץ את הקובץ, אלא יקפיץ חלון "הורדה". בפיירפוקס זה פשוט מאד... tools > options > content > file types > manage... באינטרנט אקספלורר לא ניסיתי... אבל בטוח יש שם איזו אופציה כזו (או שלא...)
09/01/2007 18:52:39
Trancer
עוד דבר שאפשר לעשות (אם לא בא לכם להחליף את ה-Adobe או לשחק עם הדגרות) זה לשדרג ל-Adobe reader גירסה 8.
10/01/2007 13:03:12
SkOd
Denial of Service: קוד:http://www.web.com/file.pdf#AnyName=JavaScript:document.write(\dOs\);[ההודעה נערכה על-ידי SkOd ב-10/01/2007 17:04:11]
10/01/2007 19:04:38
T4uSBaZ
קפץ לי עדכון אוטומטי.. Adobe reader update משהו.. אולי זה יתקן את המצב..!
10/01/2007 20:09:37
devil kide
אני גם לא חושב שזה בכוונה, אבל זה באג די משמעותי, אולי אחד המתכנתים הכניס את זה.
10/01/2007 21:14:56
Trancer
צאו מהסרטים חבר’ה אף אחד לא ’שתל’ את זה בתוך הקוד.. פשוט מה שקורה זה שהם שמים ז** אחד גדול על אבטחה ואז הם נדפקים.. זה לא חדש וזה קורה כמעט בכל מוצר של חברה גדולה.
10/01/2007 22:49:50
Rx3vL0n
אדובה חברה גדולה ורצינית ... תראו מה עשו לסוני אחרי הbackdoor שהם שמו אצלם בכוונה אין מצב שזה היה בכוונה גם קשה לי לראות מה יצא להם מכך שהם ישימו באג בכוונה
עמודים:
1
