專家週四警告,最近被發現的Acrobat Reader軟件漏洞,遠比初期預估的來得嚴重.
問題一開始浮現時,安全專家以為只是Web相關的數據會有曝光的風險,部分網絡釣魚詐騙也可藉機使力.不過現在安全廠商WhiteHat Security與SPI Dynamics雙雙發現,黑客其實還可進一步侵入受害者的完整硬盤數據.
至於風險的高低則需看惡意鏈接是指向哪邊.此問題一開始被發現時,專家是警告要留意挾帶JavaScript去下載PDF文件的鏈接.這部分雖然有風險,但黑客能作惡的部分有限.但現在發現,若是這個鏈接指向受害者PC中的PDF文件,則問題就大了.
"這意味著任何JavaScript都能訪問使用者的本地機器."SPI Dynamics首席工程師Billy Hoffman表示."黑客可以利用JavaScript來讀取使用者的檔案、刪除、執行程序、甚至擅自寄出內容等."
相較之下,若是將挾帶惡意JavaScript的鏈接指向網站的PDF文件,則黑客僅能取得受害者計算機部分權限.比如說,某一惡意程序代碼鏈接至bank.com的PDF文件,即能與bank.com進行鏈接並訪問其服務器中的cookies文件.
之所有有此一安全問題是因為Acrobat Reader的瀏覽器外掛程序可允許鏈接至PDF文件的程序能加掛JavaScript,好讓鏈接一旦被點選後就能開始執行,WhiteHat Security首席技術官Jeremiah Grossman表示.
若要進行攻擊,黑客必須先將惡意鏈接指向目前網絡上既有或特定系統的PDF文件.Grossman表示,網絡上有太多PDF文件了,若要尋找某一本地系統中的PDF其實也不難,因為Acrobat Reader安裝時都有固定路線,且會放置一個sample PDF文件.
Adobe表示他們已經得知此一安全問題,但還沒確認實際情況是否吻合."根據我們目前的資料,Flash Player、Reader與新版瀏覽器都應該可以限制這類攻擊,但我們還沒完成整個狀況的評估."一位代表如此表示.
若要避開此一風險,用戶可升級至最新版Adobe Reader 8.Adobe目前也已開始進行舊版升級以便解決該問題.
taiwan.cnet.com