Adobe Reader Plugin e Falle XSS

by

 

Secondo quanto riportato durante il 23rd Chaos Communication Congress di Berlino dai due ricercatori di scurezza, Stefano Di Paola e Giorgio Fedon, la plugin Adobe Reader è affetta da una serie di vulnerabilità di cross-site scripting (XSS) che possono permettere diversi scenari di attacco in base al browser usato.

Uno di questi scenari (Mozilla Firefox + Acrobat Reader Plugin) potrebbe consentire l’esecuzione di codice arbitrario da remoto. I due ricercatori italiani hanno mostrato le vulnerabilità XSS durante la conferenza intitolata “Subverting Ajax“.

All’origine del problema c’è una funzionalità chiamata Open Parameters che permette di popolare i form dei Portable Documents (File PDF) con un set di dati esterni tramite campi FDF, XML, o XFDF.

1. Universal CSRF / session riding; (Mozilla Firefox, Internet Explorer, Opera + Acrobat Reader Plugin)
2. UXSS in #FDF, #XML e #XFDF; (Mozilla Firefox + Acrobat Reader Plugin)
3. Possibile Remote Code Execution; (Mozilla Firefox + Acrobat Reader Plugin)
4. Denial of Service; (Internet Explorer + Acrobat Reader Plugin)

Creando un link speciale, come:

http://site.com/file.pdf#FDF=http://victim.com/index.html?param=…

un attacker è in grado di inviare automaticamente tramite Acrobat Reader una richiesta al sito victim.com senza interazione da parte dell’utente, richiedendo una risorsa specifica nel parametro ‘fdf’. Questa tecnica potrebbe essere sfruttata per condurre un attacco Universal Session Riding (AKA UCSRF).

Lo stesso effetto è ottenibile sfruttando i parametri ‘xml’ e ‘xfdf’. Inoltre usando un richiesta come “http://site.com/file.pdf#FDF=javascript:alert(‘Test Alert’)” è possibile eseguire codice javascript nel browser Firefox. Il codice JS viene eseguito nel contesto del sito e quindi questa soluzione si può identificare come attacco di Universal Cross Site Scripting UXSS, una particolare tecnica usata per sfruttare le falle dei browser invece delle vulnerabilità dei siti non sicuri.

Sempre tramite javascript è poi possibile forzare i client al download di file. Allo stesso modo possono essere condotti attacchi di Remote code Execution sfruttando questa tecnica per provocare una corruzione della memoria in Firefox. Eseguendo infine un altro tipo di richiesta, “http://site.com/file.pdf#####…(più ‘#’)”, è possibile eseguire un Denial of Service in Internet Explorer andando a saturare la memoria allocata.

Le vulnerabilità sono state confermate nelle versioni <= 7.0.x di Adobe Acrobat Reader Plugin e sono state testate su Firefox 1.5.0.7 (E precedenti) e 2.0RC2 con Windows XP SP2 e Ubuntu 6.06, e Internet Explorer 6 con XP SP2.

Adobe, a quanto pare, ha ricevuto notifica di questo problema di sicurezza ad Ottobre scorso, ed infatti il nuovo Adobe Reader 8 non è affetto da questo tipo di vulnerabilità, in quanto non permette l’inclusione di codice JavaScript negli URL processati.

Tutti gli utenti sono quindi incoraggiati ad aggiornare al più presto la loro versione di Acrobat Reader alla release 8 (Ancora non disponibile in lingua italiana). Adobe è comunque già a lavoro sulle patch per le versioni precedenti del software.

Secondo Ken Dunham, director del Rapid Response Team di VeriSign iDefense:
Questa vulnerabilità permette di eseguire attacchi di cross-site-scripting (XSS) per rubare cookie e informazioni di sessione, o creare potenzialmente un worm XSS“, mettendo quindi a rischio di hijack gli account online ed alimentando i circuiti di phishing. Anche Symantec evidenzia che questa vulnerabilità potrebbe segnare una impennata degli attacchi XSS, che in passato sfruttavano le falle dei siti web, e che ora possono approfittare di un bug in una applicazione client-side molto popolare tra gli utenti della rete.

Fonte Tweakness.net

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...


%d blogger cliccano Mi Piace per questo: