Schwachstelle im ADOBE Reader

Beschrieben wird dabei eine Cross-Site-Scripting Schwachstelle durch das Browser-PlugIn (Adobe-Reader-PlugIn) des Firefoxes - jedoch kein Security-Leak des Browsers selber.

Indem ein Link auf ein PDF-Dokument durch JavaScript-Code ergänzt wird, könnte somit ein entfernter Angreifer beliebige Befehle im Kontext der Webseite ausführen, welche die aufgerufene PDF-Datei zur Verfügung stellt. So etwas müsste logischerweise jedoch auch für alle anderen Browser (Opera / IE / Safari etc.) gelten müssen, sofern auf so einem System keine separaten PDF-Reader zum Einsatz kommen.

Anwender des Firefoxes wären meiner Ansicht nach ohnehin gut beraten, sich mit der Installation separaten Browser-PlugIns zurückzuhalten.

Es ist nicht der Browser selber der dabei als Unsicher gilt, sondern eher die Kombination unterschiedlicher und somit in ihm integrierbarer Erweiterungen, die in Konsequenz zu viele "Interpretationsspielräume" offen lassen, welche sich meiner Meinung nach über Scripte (Integer Overflows) ausnutzen lassen könnten.

http://archive.cert.uni-stuttgart.de/win-sec-ssc/2007/01/msg00093.html
http://www.at-mix.de/news/2217.html

Oliver

Gut das ich den Foxit ohne Plugin fahre, das scheint ja noch die sicherste Alternative zu sein.

Ich finde PDF-Plugins ja sowieso sinnlos, egal ob mit Sicherheitsleck oder nicht. Aber das habe ich ja schon mal ausgeführt...

Zitat

...doch auch der alternative PDF-Betrachter Foxit soll das Sicherheitleck enthalten.

http://www.golem.de/0709/54909.html

Nun, da ich alle 4-5 Monate mal eine PDF öffne und das nur aus seriösen Quellen sehe ich da keine großen Probleme auf mich zukommen bis das Problem gefixt ist.