Les chercheurs de découvrir Adobe PDF Hack

La sécurité informatique a déclaré mercredi des chercheurs ont découvert une vulnérabilité dans Adobe Systems Inc s omniprésent logiciel Acrobat Reader qui permet aux cyber-intrus d'attaquer les ordinateurs personnels par le biais de liens de confiance Web.

Pratiquement toute l'hébergement de sites Web Portable Document Format, ou PDF, les fichiers sont vulnérables à une attaque, selon les chercheurs de Symantec Corp et VeriSign Inc iDefense s Intelligence.

Les attaques pourrait être de l'ordre de voler les cookies que le suivi d'un utilisateur Web de l'historique de navigation à la création de vers nuisibles, les chercheurs ont dit.

Ce défaut, d'abord révélé lors d'une conférence de hackers en Allemagne durant les Fêtes, existe dans un plug-in Acrobat qui permet aux utilisateurs de visualiser les fichiers PDF dans les navigateurs Web.

En manipulant le Web des liens vers ces documents, les pirates et les voleurs en ligne sont en mesure de commandeer le logiciel Acrobat et exécuter du code malveillant lorsque les utilisateurs tentaient d'ouvrir les fichiers, selon Ken Dunham, directeur de l'équipe de réponse rapide à VeriSign's Intelligence iDefense.

Dunham a donné ce scénario hypothétique: un attaquant trouve un fichier au format PDF sur un site Web bancaire. L'attaquant crée un site Web hostile que des liens vers la banque du fichier PDF. Inclus est malicieux code JavaScript qui sera diffusée pour le peu méfiants l'ordinateur de l'utilisateur une fois le lien est cliqué.

"Le format PDF est fiable et éprouvée - tout le monde l'utilise," a déclaré Dunham. "Mais au lieu de simplement visualiser les fichiers, vous avez lancé script qui ne doit pas être exécuté. Tout ce que vous avez à faire est de cliquer sur le PDF et le ballon commence à rouler."

Les représentants d'Adobe ne pas retourner un appel de l'Associated Press mercredi soir.

Ce défaut semble cibler Microsoft Corp d 'Internet Explorer 6,0 navigateur Web et les versions antérieures, et Mozilla Firefox navigateur, les chercheurs ont dit.

Ils ont recommandé que les utilisateurs à se protéger en mettant à jour Internet Explorer ou Firefox de changer les options de l'utilisateur de sorte que le navigateur ne pas utiliser le logiciel Acrobat plug-in.

Les chercheurs ont dit qu'il est difficile de savoir comment envahissant ou nuisible tout de futures attaques pourraient l'être.

«Étant donné qu'il est facile à exploiter, je pense que nous verrons cette méthode utilisée considérablement dans les prochains jours et des semaines, jusqu'à ce qu'elle soit résolue», un chercheur de Symantec a dit dans une publication sur un journal Web d'entreprise.

International Call Numbers

PayPal sort avec Anti-Phishing dispositif

eBay s'apprête à offrir à ses utilisateurs de PayPal un mot de passe générateurs de clés qui promet d'accroître la sécurité du service de paiement en ligne.

L'appareil affiche un nouveau mot de passe-temps sous la forme d'un code à six chiffres sur toutes les 30 secondes. PayPal clients qui choisissent d'utiliser l'appareil entrera ce mot de passe ainsi que leurs pouvoirs lors de la signature dans le service. Les clés se veut une autre arme dans la bataille sur les données voleurs-phishing.

"Si une certaine partie frauduleuse a obtenu d'une personne du nom d'utilisateur et mot de passe, il ne serait toujours pas en mesure d'obtenir sur le compte parce qu'ils n'ont pas le code à six chiffres», Sara Bettencourt, un porte-parole de PayPal, a déclaré par téléphone Jeudi. "Ce pas est un miracle qui va arrêter la fraude. Il ne s'agit que d'une autre couche de protection."

Le "PayPal clé de sécurité" coûtera 5 $ pour les comptes de PayPal, mais il sera gratuit pour les comptes d'affaires, a dit Bettencourt. PayPal a fait des tests sur l'appareil avec les employés pour un couple de mois et prévoit de commencer les essais avec des clients au cours du prochain mois ou deux de plus, dit-elle. A partir de Septembre 30, il y avait près de 123 millions de comptes PayPal, eBay a dit.

Les utilisateurs de PayPal aux Etats-Unis, l'Allemagne et l'Australie sera en mesure de signer pour le procès par le biais d'un site Web spécial, a dit Bettencourt. "Sur la base de la réponse, nous attendons avec intérêt de rouler il finalement dans d'autres pays», at-elle dit.

Le mot de passe dispositif de génération est basée sur la technologie de VeriSign, avec lequel eBay a conclu un partenariat en matière de sécurité en 2005. Cette clé FOBS sont également utilisés pour plus de sécurité par les grandes entreprises pour l'accès aux ressources de l'entreprise, et certaines banques et sociétés de courtage de leur offrir à nos clients une valeur nette élevée. D'autres entreprises qui fournissent le mot de passe gadgets inclure RSA et Vasco.

eBay et PayPal sont des cibles de phishing. Ces fréquentes Travailler pour l'OMS utilisent habituellement les sites Web frauduleux ressemblant à celles des sites légitimes et le spam e-mail pour tromper les gens à renoncer à leurs informations personnelles comme le nom de login et mots de passe.

Dans une étude récente de Google public liste noire des sites de phishing, de sécurité chercheur Michael Sutton a constaté que près de la moitié de tous les sites actifs de phishing ciblé soit eBay ou PayPal. La liste noire de Google est utilisé dans la barre d'outils Google pour Firefox et le navigateur Firefox 2,0.

Copyright © 1995-2007 CNET Networks, Inc

??????????????????????????