Total Security - www.totalsecurity.com.br
Informações confidenciais do CERT vazam na Web
Informações confidenciais gerenciadas pelo Centro de Coordenação CERT que deveriam ser divulgadas somente em 24/06, vazaram na Web nesta semana, sem autorização do instituto.De acordo com o relatório divulgado pelo CERT, os documentos relatavam uma falha nos leitores PDF (Portable Document Format) para Unix, que permitem que um ataque remoto leve os usuários a executar códigos maliciosos em suas máquinas.
O último relatório do CERT foi inserido em uma lista de discussão de vulnerabilidades por um usuário individual que usava o nome “hack4life”. Segundo Jeffrey Carpenter, gerente do Centro de Coordenação do CERT, a informação divulgada foi retirada de um memorando enviado pelo CERT para os vendedores de software afetados pelo problema no PDF. Segundo o relatório, programas como o Acrobat Reader 5.06 e o leitor Xpdf 1.01 são afetados pelo problema.
O relatório descreve um problema que ocorre com os programas PDF para plataformas Unix, quando os mesmos estão processando hiperlinks dentro de documentos PDF. Como estes programas não checam a sintaxe destes comandos, eles permitem que funções sejam executadas em máquinas vulneráveis. Assim, esta falha pode permitir que um invasor use os comandos para deletar arquivos ou executar outras ações sem o consentimento do usuário.
O invasor Hack4life ainda afirmou, na lista de discussões, que divulgará mais informações do CERT em breve e que continuará fazendo ações deste tipo “por diversão”. O invasor ainda disse que tem raiva do CERT por sua incompetência em divulgar informações sobre vulnerabilidades nos prazos corretos.
Fonte: IDG Now!
O último relatório do CERT foi inserido em uma lista de discussão de vulnerabilidades por um usuário individual que usava o nome “hack4life”. Segundo Jeffrey Carpenter, gerente do Centro de Coordenação do CERT, a informação divulgada foi retirada de um memorando enviado pelo CERT para os vendedores de software afetados pelo problema no PDF. Segundo o relatório, programas como o Acrobat Reader 5.06 e o leitor Xpdf 1.01 são afetados pelo problema.
O relatório descreve um problema que ocorre com os programas PDF para plataformas Unix, quando os mesmos estão processando hiperlinks dentro de documentos PDF. Como estes programas não checam a sintaxe destes comandos, eles permitem que funções sejam executadas em máquinas vulneráveis. Assim, esta falha pode permitir que um invasor use os comandos para deletar arquivos ou executar outras ações sem o consentimento do usuário.
O invasor Hack4life ainda afirmou, na lista de discussões, que divulgará mais informações do CERT em breve e que continuará fazendo ações deste tipo “por diversão”. O invasor ainda disse que tem raiva do CERT por sua incompetência em divulgar informações sobre vulnerabilidades nos prazos corretos.
Fonte: IDG Now!
URL Fonte: http://www.totalsecurity.com.br/noticia/75/visualizar/
Comentários