CNET科技资讯网1月4日国际报道 Acrobat Reader软件中的一个安全缺陷对于网络诈骗犯罪分子而言可能是个福音。
赛门铁克和VeriSign iDefense表示,Acrobat Reader浏览器插件中的一个错误使网络诈骗犯罪分子指定一个托管有恶意Adobe PDF文件的网站的地址。
犯罪分子可以构造一个似乎是值得信赖的链接,并增添在链接被点击后就会运行的恶意JavaScript代码。
VeriSign iDefense快速响应团队的主管敦汉姆说,例如,犯罪分子可以在一个空白网站上找到一个PDF文件,然后创建指向该文件和恶意JavaScript代码的链接。
敦汉姆表示,这一缺陷使得系统可能出现跨站点脚本(XSS)攻击,窃取cookie、对话信息,甚至黑客可能开发XSS蠕虫。
赛门铁克表示,Adobe软件中的这一缺陷可能会刺激XSS攻击的增长。过去,这类攻击都需要利用网站中的安全缺陷,Adobe Reader中的这一缺陷首次使得客户端应用软件成为跨站点脚本攻击的帮凶。
赛门铁克警告称,这一缺陷可能会极大地改变传统的跨站点脚本攻击的格局。
Adobe在一份电子邮件声明中说,为了减轻这种威胁,用户可以升级到上个月发布的Adobe Reader 8。Adobe还表示,正在开发以前版本的Adobe Reader补丁软件。
赛门铁克还表示,用户还可以强制PDF文件只能在Acrobat客户端软件而不能在浏览器插件中打开。