Súlyos PDF hiba, veszélyben banki adataink

Kiss Ádám Zoltán, 2007. január 5. 13:05
Egy nemrég felfedezett PDF hibáról kiderült, hogy megfelelően formázott JavaScript segítségével lehetővé teszi a teljes merevlemez tartalmának elérését, beleértve a számlavezetési adatokat is.
Az első találgatások szerint a hiba csak egyes webes felületeket érintett volna, de most két egymástól független biztonságtechnikai vállalat, a WhiteHat Security és az SPI Dynamics is arra a következtetésre jutott, hogy gyakorlatilag teljesen kiszolgáltathatja gépünket a kiskapu. Eredetileg az gondolták, hogy csak weboldalakon elhelyezett PDF állományokhoz ad fokozott hozzáférési hibát a biztonsági rés, de mára kiderült, hogy egy közvetlen linkkel a felhasználók gépei is veszélybe kerülhetnek. Billy Hoffman, az SPI Dynamics egyik vezető szakértője szerint ez azt jelenti, hogy egy rosszindulatú felhasználó tehát JavaScript segítségével elolvashatja mappáinkat, módosíthatja, vagy törölheti azokat, vagy éppen tartalmukat elküldheti saját gépére, valamint szoftvereket telepíthet és futtathat gépünkön.

Jeremiah Grossman, a WhiteHat Security informatikai igazgatója szerint a hibát az okozza, hogy az Adobe Systems Acrobat Reader programjának böngésző segédszoftvere engedélyezi a PDF állományokhoz fűzött linkelt JavaScrip futtatását. Rossz hír, hogy a támadáshoz csupán egy PDF fájl szükséges a felhasználó gépén, ez pedig szinte biztosan megtalálható, a már telepített, de még egyszer sem használt Acrobat Reader is tartalmaz egy minta fájlt. Az Adobe nem ismerte el maradéktalanul a hibát, de nem is tagadja. Közleményükben az áll, hogy szerintük a „Flash Player, Reader és a modern böngészők” vélhetően megakadályoznak egy ilyen támadást, bár még nem vizsgálták meg tüzetesen a hibát. A rendkívül veszélyes helyzetre megoldást jelenthet az Adobe Reader 8-as változatának letöltése a http://www.adobe.com/products/acrobat/readstep2.html címről, ám ez csak a múlt hónapban jelent meg, és a felhasználók többsége nem telepítette, vagy éppenséggel nem is tud létezéséről. A korábbi változatokhoz szükséges javítócsomagokat a lehető legrövidebb időn belül megpróbálják elkészíteni.
Kulcsszavak: pdf security

IT ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

A Samsung új szintre emeli okostévéinek biztonságát

A Samsung saját fejlesztésű kriptográfiai modulja, a Samsung CryptoCore* megszerezte a Nemzeti Szabványügyi és Technológiai Intézet (NIST) rangos FIPS 140-3 tanúsítványát**. A titkosítási minősítés a vállalat azon elhivatottságát támasztja alá, hogy okostelevízióin is kiemelkedő biztonsági és adatvédelmi megoldásokat nyújtson a felhasználóknak.

2024. október 31. 20:11

Az otthoni rehabilitációt segíti a Széchenyi-egyetem mesterséges intelligenciával működő fejlesztése

A győri Széchenyi István Egyetemen jelenleg is több egészségtechnológiai fejlesztés zajlik. Az egyik közülük lehetővé teszi, hogy a betegek a saját otthonukban végezhessék el a rehabilitációjukhoz szükséges fizikai gyakorlatokat. A mesterséges intelligencián alapuló szoftver nemcsak kiértékeli a mozgássor pontosságát, de képes arra is, hogy a kezelőorvosnak erről teljes körű jelentést küldjön.

2024. október 30. 11:48

Kiemelkedő kiberbiztonsági minősítést kapott a Schneider Electric megoldása

A világ első adatközponti infrastruktúra menedzsment (DCIM) hálózati kártyája lett a Schneider Electric EcoStruxure IT Network Management Card 3 megoldása, amely megkapta a Nemzetközi Elektrotechnikai Bizottság (IEC) IEC 62443-4-2 Security Level 2 (SL2) minősítését. Az új minősítés szigorúbb követelményeket takar és kiberbiztonsági szempontból nagyobb ellenállóképességet jelent, mint a tavaly elnyert SL1. 

2024. október 27. 12:03

Szélesebb, merészebb, gazdagabb az új AGON PRO gaming monitor

Az AGON by AOC – a világ egyik vezető gaming monitor* és IT-kiegészítő márkája – büszkén jelenti be az AGON PRO AG346UCD, egy élvonalbeli 34 hüvelykes (86,4 cm) ívelt gaming monitor bevezetését. A gaming rajongóknak szánt AGON PRO felső kategóriás termékcsaládjának W-OLED és QD-OLED sorozatát ez az új modell QD-OLED panellel, 175 Hz képfrissítési sebességgel és UWQHD (3440x1440) felbontással egészíti ki. Az AG346UCD új mércét állít fel a magával ragadó játékélmény terén, különösen a széles, kiterjedt RPG vagy a történet-vezérelt játékok, valamint a szimulátoros autóversenyek, repülésszimulátorok és akciódús műfajok esetében.

2024. október 25. 16:05

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59