Falha crítica no plugin do Acrobate Reader

Dois especialista em segurança Stefano Di Paola e Giorgio Fedon apresentaram um artigo no 23rd Chaos Communication, realizado entre 27 e 30/dez/06, revelando a descoberta de uma falha crítica no Acrobate Reader.

O ataque pode ser realizado por XSS (Cross Site Scripting), assim seria possível passar um código não-requisitado por parâmetros de uma requisição de URL. Qualquer um que armazene PDF em seu site, pode ser manipulado por essa brecha, sendo assim, qualquer site confiável pode ser tornar uma armadilha para os usuários. Para se ter noção da gravidade dessa falha, se imagine acessando o site de uma banco que você confia e tendo todas as suas informações bancárias sendo capturadas por uma criminoso, pois é, segundo os especialistas isso é possível tudo por causa de um PDF.

Ken Dunham, membro da VeriSign iDefense, diz, em comunicado, que esta vulnerabilidade torna possível o roubo de cookies, informações referentes às sessões de navegação do usuário ou até a criação de um worm que se aproveite dessa falha.

Esse tipo de falha possibilita um grande crescimento dos ataques de XSS.

Até o momento a Adobe não se pronunciou sobre o assunto.