Por Fabio Assolini

Uma nova falha envolvendo links para documentos PDF foi confirmada pela Symantec na última quarta-feira (3/12) e pela WebSense ontem (4/12). A brecha, que afeta principalmente o Firefox, permite que Javascript seja executado no contexto de qualquer site que esteja hospedando um arquivo PDF. Com a possibilidade da execução de Javascript, a vulnerabilidade poderia ser usada de várias formas, mas não é capaz de instalar um vírus no sistema.

Análises iniciais apontaram que o problema estava limitado ao Firefox, porém em testes posteriores verificou-se que o Internet Explorer 6 rodando o Adobe Reader 7 em um Windows XP SP1 ou com Adobe Reader 4 em Windows XP SP2, pode ser explorado da mesma forma, de acordo com a Symantec. Ataques do tipo Cross-site Scripting (XSS) são facilitados pela brecha.

A peça central da falha é o plugin do Adobe PDF incorporado aos navegadores. O plugin existe para facilitar a vida do usuário, pois permite que um PDF seja aberto na tela do navegador quando um link para um arquivo PDF for clicado. O plugin aceita certos parâmetros, tal como o nível de zoom que será usado no documento, porém é possível colocar código Javascript em um parâmetro personalizado.

O link abaixo é um exemplo inofensivo:
www.google.com/librariancenter/downloads/Tips_Tricks_85x11.pdf

Se seu sistema estiver vulnerável, você verá um caixa de texto com o conteúdo ‘xss’ ao clicar no link acima.

Apesar de que links maliciosos usando a falha podem ser facilmente identificados, sites de redirecionamento de URLs podem ser usados para esconder o link verdadeiro, tornando o alcance de um ataque muito maior.

A gravidade dessa falha se encontra no fato de que um site não precisa possuir qualquer vulnerabilidade em seu sistema para que criminosos possam executar códigos Javascript no contexto daquele site. É possível roubar cookies, dados e até forçar postagens. Note que, caso o usuário visite um site malicioso, este pode simplesmente carregar o PDF automaticamente, sem necessidade de outra ação do usuário.

Como se proteger
  1. Atualize sua versão do Adobe Reader. A versão 8.0 não é afetada por essa falha.
  2. Utilize um leitor de documentos PDF alternativo, como o Foxit Reader, que não é afetado pela falha (note que é preciso desinstalar o Adobe Reader).
  3. Desabilite o plugin do Adobe Reader em seu navegador. Ao tentar acessar um documento PDF, ao invés deste ser aberto no navegador, lhe será oferecido o download do documento.
Anúncios

Escrito por Redação Linha Defensiva