Опрос
Ждете ли вы выхода привычных ноутбуков на новой Windows 10X?

Уязвимость в IE стала причиной утечки конфиденциальной информации из 50 миллионов PDF-файлов

Напечатать страницу
24.11.2009 11:06 | deeper2k

Уязвимость в Internet Explorer привела к утечке в сеть информации из более 50 миллионов файлов, хранящихся в сети, которая может подвергнуть риску конфиденциальность пользователей.

Документы, хранящиеся в формате Adobe PDF, отображают путь к файлу на диске, позволяя также получить реальные имена и логины пользователей, используемые операционной системой, и иную информацию, требующую конфиденциальности. Подобная информация может быть получена с помощью простого поиска в Интернете.

Результаты поиска в Google (как эти) показывают свыше 4 миллионов документов, хранящихся на диске C на компьютерах пользователей. А вкупе с результатами для других логических дисков с помощью данной техники можно получить информацию о более 50 миллионах файлов с локальным путем к ним. Об этом сообщила компания Inferno, выступившая в роли исследователя безопасности для одной крупной компании, чье название держится в секрете.

"С помощью таких PDF-файлов злоумышленники могут использовать результаты поиска для определения реальных имен пользователей и версии используемой ОС" - заявил исследователь Inferno. "Это ставит под угрозу конфиденциальность пользователей."

Подобные конфиденциальные данные включаются в PDF-файлы, напечатанные с помощью Internet Explorer. И хотя эта информация отображается не каждый раз, когда открывается документ, ее легко прочитать с помощью таких редакторов, как Notepad, при этом текст доступен Google и другим поисковым механизмам.

Этот PDF-файл, к примеру, на момент печати был размещен по адресу C:\Program Files\Wids7\WizardReport.htm. Путь показывает, что файл хранится на компьютере под управлением Windows с установленным приложением Worldwide Instructional Design System. Другие PDF-файлы раскрывают имена авторов, проектов и иную информацию, которая должна быть конфиденциальной.
Единственным способом удалить путь является удаление текста в редакторе с последующим сохранением файла.

Уязвимости подвержены все версии IE. Пресс-секретарь Microsoft заявила, что инженеры компании работают над воспроизведением такого поведения. "Мы можем подтвердить, что это не уязвимость" - заявила она. Представитель Adobe не ответил на нашу просьбу прокомментировать ситуацию. Отчет Inferno можно найти здесь.


Источник: http://www.theregister.co.uk
Перевод: deeper2k

Комментарии

Не в сети

позволяя также получить реальные имена и логины пользователей, используемые операционной системой, и иную информацию, требующую конфиденциальности. писал:


И каким же образом можно получить имена и логины?

24.11.09 12:46
0
Не в сети

file://C:\Documents and Settings\gildasr\Local Settings\T

Вот вам и логин

24.11.09 13:20
0
Не в сети

напчатанные с помощью Internet Explorer
Ох и не люблю я Internet Explorer. А вообще, мне бы и в голову не пришло им печатать PDFки о_0

24.11.09 14:04
0
Не в сети

Только-только пару дней назад назад была хвалебная статья о IE8
В мире есть одно абсолютное Зло — продукция Майкрософт.

24.11.09 14:32
0
Не в сети

Да нет - это что то не то!Очередная провокация пингвинщиков!

24.11.09 15:07
0
Не в сети

скорее это промах Адоба, которые и занимаются PDF

24.11.09 19:22
0
Не в сети

ИЕ вставляет в поле имя файла путь к файлу, а Адоб здесь при чем? Акробат вставляет только имя!

24.11.09 20:36
0
elk 0
Не в сети

Так путь этот берёт не с потолка, а из этой PDFки.

эта уязвимость не имеет к ie никакого отношения. это просто акбробат криворуко сделан плюс люди, которые верстаю пдфки имеют кривые руки и выставляют на показ не то, что надо. и вообще акробат всегда был одной большой сплошной дырой.

та же самая привидённая pdf'ка имеет путь в теге титула документа. это кривые руки верстальщика. сам акробат подставляет титул при печати. попробуй из фаерфокса или из оперы - получишь тот же результат.

25.11.09 09:24
0
Не в сети

Прогулялся по результата поиска... Поржал

mhtml:file://C:\Documents and Settings\gay\Local Settings\Tempo


Кто на что горазд...

27.11.09 09:40
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
209.44 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.043 секунд (Общее время SQL: 0.017 секунд - SQL запросов: 63 - Среднее время SQL: 0.00028 секунд))
Top.Mail.Ru