Falha em leitor de PDF é ameaça no WikiLeaks

O problema de segurança no leitor open source pode ser explorado para lançar ataques de XSS e de falsificação de conteúdo.

wikileaks

Um componente de código aberto ‒ o FlexPaper ‒ usado para mostrar ficheiros PDF no WikiLeaks.org e outros sites contém vulnerabilidades que podem ser exploradas para lançar ataques do tipo “cross-site scripting (XSS)” e ataques de falsificação de conteúdo. O dispositivo chama-se é desenvolvido por uma empresa chamada Devaldi, com base na Nova Zelândia.

A empresa confirmou os problemas revelados primeiro durante a última quinta-feira no fórum de suporte da WikiLeaks. Foram emitidas correcções ‒ FlexPaper 2.3.0 ‒ para resolvê-los.

No entanto, parece que o componente ainda não foi actualizado na WikiLeaks.org, que ainda estava a usando o FlexPaper 2.1.2 em algumas páginas esta terça-feira. O incidente surge depois de a Wired informar na semana passada que em 2012 o FBI usou um componente baseado em Flash para descobrir utilizadores do Tor e ver o seu verdadeiro endereço IP (Internet Protocol).

“Dado o facto de a maioria dos browsers usarem ‘plugins’ para permitir a leitura de PDF, recomendamos que a WikiLeaks use ligações vinculadas directamente aos ficheiros PDF em vez de usar software de terceiros, que podem colocar os utilizadores em risco”, escreveu um utilizador chamado Koyaanisqatsi, no fórum WikiLeaks.

Foi já o que a WikiLeaks fez com dois documentos da CIA sobre como viajar, sob identidade falsa, através de vários aeroportos.




Deixe um comentário

O seu email não será publicado