Leitor de PDF alimentado-Flash Wikileaks 'surgiu uma vulnerabilidade ou dois.
O site de denúncia utiliza uma fonte de biblioteca do Flash aberto chamado FlexPaper para exibir arquivos PDF. Infelizmente vários erros de codificação deixou FlexPaper aberto ao cross site scripting e spoofing conteúdo.
Os desenvolvedores por trás do software baseado na web visualizador de documentos de código aberto têm desenvolvido um patch para resolver os bugs.
"Confirmamos esta vuln segurança XSS em nosso visualizador de flash GPL e remendado ele. Nova versão: http://ift.tt/1E6Gmsx ", disse FlexPaper El Reg. "A maioria das falhas de segurança em Flash foram remendado flash versão 9 e FlexPaper requer o Flash 11, mas temos confirmado este XSS."
A descoberta dos bugs pelo pesquisador de segurança Francisco Alonso tem provocado http://ift.tt/13zSHVz em fóruns 'WikiLeaks que as vulnerabilidades podem ser abusado de-capote usuários, ameaçando a privacidade dos usuários do WikiLeaks no processo.
Hackers (patrocinada pelo estado ou não) pode usar os componentes do Flash especificamente para de-capote usuários. Também pode ser possível postar links para conteúdo externo como parte das tentativas de (ainda mais) desacreditar WikiLeaks. Problemas semelhantes ao uso pelos Feds de módulos Metasploit para descobrir as identidades de usuários do Tor são temidos.
"Dado o fato de que a maioria dos navegadores usar plugins para permitir a leitura de PDFs, nós recomendamos fortemente Wikileaks se vincular diretamente com arquivos PDF em vez de usar software de terceiros que poderia colocar os usuários em risco", um membro do fórum do WikiLeaks aconselhou.
WikiLeaks não respondeu aos nossos pedidos para comentar o assunto. ®
Nenhum comentário:
Postar um comentário