+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10)
+--- Thema: Adobe Reader - Cross Site Scripting (/showthread.php?tid=195)
Adobe Reader - Cross Site Scripting - ok-webhosting - 04.01.2007
Es wurde eine Schwachstelle im Adobe Reader bekannt, ueber die Angreifer Cross-Site-Scripting-Attacken vornehmen koennen.
Eingaben beim Abruf von entfernten PDF-Dateien werden vom Browser-Plugin vor der Rueckgabe an den Benutzer nicht ausreichend bereinigt. Dies kann der Angreifer ausnutzen, um beliebigen Script-Code in der Browser-Session eines Benutzers im Kontext der betroffenen Site auszufuehren.
Beispiel:
http://[host]/[filename].pdf#test=javascript:[code]
Die Sicherheitsluecke ist bestaetigt fuer Version 6.0.1 fuer Windows mit
Internet Explorer 6 und Version 7.0.8 fuer Windows mit Firefox 2.0.0.1. Andere Versionen koennten jedoch ebenfalls betroffen sein.
Empfehlung:
Aktualisieren Sie auf Version 8.0.0
http://www.adobe.com/de/products/acrobat/readstep2.html