[WEB SECURITY] Universal XSS with PDF files: highly dangerous
上野先生のところ経由。
正月早々イヤなお年玉ですが、Webページ上にPDFファイルが置いてある場合、ちょっとハイパーリンクの部分をごにょごにょする事で、クロスサイトスクリプティング(XSS)など(※)のトラブルを発生させる事ができるという脆弱性が報告されました。
リンクを踏むだけで発動っ!!、って感じなので非常に危険です。
対応策は……
(必須)Adobe Reader(旧:Acrobat Reader)を、最新の「Ver.8」にアップデートする(インストールする)。
(推奨)PDFを開く時は、面倒でも(IE6の場合)「右クリック」→「対象をファイルに保存(A)...」を選択し、パソコン上に保存してから開く。
……です。
---
(※)XSSの他にも、ブラクラや任意のスクリプトを実行(cookieの中身を引っこ抜かれたり、ウイルスを送り付けられたり...etc...)などのいやーな事ができてしまいます。いずれにしても、まずはAdobe Readerを最新のモノにする事からですね。
上野先生のところ経由。
正月早々イヤなお年玉ですが、Webページ上にPDFファイルが置いてある場合、ちょっとハイパーリンクの部分をごにょごにょする事で、クロスサイトスクリプティング(XSS)など(※)のトラブルを発生させる事ができるという脆弱性が報告されました。
リンクを踏むだけで発動っ!!、って感じなので非常に危険です。
対応策は……
……です。
---
(※)XSSの他にも、ブラクラや任意のスクリプトを実行(cookieの中身を引っこ抜かれたり、ウイルスを送り付けられたり...etc...)などのいやーな事ができてしまいます。いずれにしても、まずはAdobe Readerを最新のモノにする事からですね。