Populaire IE-plugin Adobe SVG Viewer is lek
Fouten openen achterdeur voor aanvaller
08 oktober 2003 | Geert Coolen
GreyMagic, producent van beveiligingssoftware, heeft een veiligheidslek gevonden in Adobe SVG Viewer. SVG staat voor Scalable Vector Graphics en is een relatief nieuwe, op XML gebaseerde codetaal voor het creëren en controleren van vector graphics. De codetaal werd gestandaardiseerd en goedgekeurd door het WWW-consortium (W3C). Verschillende SVG browser plugins zijn reeds op de markt verschenen maar de meest populaire is toch wel de Adobe SVG Viewer (ASV).
Volgens GreyMagic zou ASV de Active Scripting-instellingen van de browser negeren waardoor het kwetsbaar wordt voor aanvallen van buitenaf. Aanvallers kunnen op die manier de computer aanvallen met scripts ? zelfs al heeft de gebruiker ?Active Scripting? om veiligheidsredenen uitgeschakeld.
Een ander kritiek probleem stelt derden in staat delicate informatie van de lokale harde schijf van de gebruiker te halen. Dit zou ook het geval zijn wanneer de gebruiker werkt met url?s die verwijzen naar bestanden of documenten op een niet-lokale computer. Wanneer de gebruiker deze url opent, wordt de inhoud van zijn systeem zichtbaar voor de aanvaller.
Het derde en laatste probleem dat GreyMagic opmerkte wordt door het bedrijf ook als kritiek omschreven. Eén van de mogelijkheden die ASV biedt is het tonen van een waarschuwingsvenster met een boodschap die vraagt om bevestiging van de gebruiker. Terwijl de pc wacht op de bevestiging van de gebruiker kan de aanvaller via een achterdeur de lokatie in het geopende scherm te veranderen en een ander domein te laden.
Zodra de gebruiker de bevestiging geeft zal de browser normaal verder werken, maar heeft de aanvaller volledige toegang tot het document van het slachtoffer. In het ergste geval kan dit zelfs ertoe leiden dat de aanvaller volledige controle over de pc van het slachtoffer krijgt.
GreyMagic heeft deze problemen voorgelegd aan Adobe die op hun beurt een patch gemaakt hebben om deze problemen op te lossen. Je kan deze patch downloaden op
de website van Adobe.
Lees meer artikels over :
greymagic, svg, adobe
bron: ZDNet
in de kijker »
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
lees meer »
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
lees meer »
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
