Ataque PDF (II): Y en tu propia computadora

Noticias anteriores relacionadas anteriores 1 y 2

Por si acaso a alguien le quedaban dudas sobre si los sitios web tenían alguna responsabilidad en la vulnerabilidad UXSS que nos ha regalado Adobe al empezar el año, aquí llega la prueba del algodón.

Resulta que el ataque también funciona en local, es decir, sin necesidad siquiera de utilizar ningún web como inocente intermediario...

Lo puedes comprobar tú mismo. Si tienes Firefox/Opera en Windows y utilizas aún Acrobat 7, carga en tu navegador la siguiente dirección (en una línea):

file:///C:/Archivos%20de%20programa/Adobe/Acrobat%207.0/Resource/
ENUtxt.pdf#joer=javascript:alert(%22Vulnerable!%22);

(Ojo: la dirección puede variar según tu instalación o idioma, pero puedes localizar ese pdf en tu ordenador navegando un poco; antes de cargarlo en el navegador no olvides añadir a la dirección la coletilla que va tras la extensión pdf, que es donde reside la sustancia del asunto).

¿Saltó la ventanita como en mi imagen? ¿Qué significa? Pues que te pueden lanzar cualquier javascript en tu máquina utilizando como inocente vector cualquier pdf de tu propio ordenador cuya localización sea estándar (como el del ejemplo lo es en la propia instalación de Acrobat Reader 7).

Y como expliqué en el caso anterior, esto es sólo una muestra, pero el código que te pueden hacer ejecutar vía un e-mail o un enlace en una web maliciosa puede ser mucho más maligno.

Conclusión: si piensas seguir utilizando el lector de Adobe, actualiza al menos cuanto antes a la versión 8.

El preocupante descubrimiento ha sido realizado por Rsnake.

Fuente: http://www.kriptopolis.org/ataque-pdf-ii-y-en-tu-ordenador-tambien

Suscríbete a nuestro Boletín