A Microsoft está investigando o caso, mas já afirma não se tratar de uma vulnerabilidade.
Por Matheus Gonçalves
Um pesquisador da área de segurança disse que uma falha de segurança no navegador da Microsoft pode permitir o acesso não autorizado a 50 milhões de arquivos PDF de conteúdo confidencial, armazenados online.
Segundo o site The Register, documentos salvos no formato PDF diretamente no Internet Explorer, armazenam também o local do disco em que o arquivo foi gravado. Isso caracteriza um descuido que pode inadvertidamente expor nomes reais de servidores, identificações de login dos usuários, o sistema operacional utilizado e outras informações consideradas pelos especialistas passíveis de uma maior proteção.
Uma busca simples em motores de busca pode revelar os dados.
Uma pesquisa no Google por termos como “filetype:pdf file c (htm OR html OR mhtml)” (como no link bit.ly/6OflPd) é capaz de exibir o caminho exato onde determinados arquivos foram criados. A exposição do exemplo chega a atingir 4 milhões de documentos.
Código mostra área onde informação é salva no PDF. ( Créditos: SecureThoughts.com)
Inferno, como prefere ser chamado o pesquisador do blog SecureThoughts explica que documentos ‘impressos’ em PDF, a partir do IE, usando ferramentas como Adobe PDF, CutePDF, e similares, inserem uma linha de registro no arquivo que guarda as informações do computador local.
“Se usuários do IE criaram esse tipo de PDF, alguém pode facilmente fazer uma pesquisa na Web e encontrar usernames ou descobrir informações sobre os sistemas operacionais usados. Isso realmente é uma invasão de privacidade” – disse Inferno.
Para ilustrar, o PDF armazenado no link bit.ly/PDFTest foi salvo na pasta C:\Program Files\Wids7\WizardReport.htm no momento da criação.
A única maneira de remover a informação é abrir o PDF em um editor, apagar a linha e salvar o arquivo novamente.
Todas as versões do IE são afetadas pela falha.
Uma porta-voz da Microsoft disse que os engenheiros da empresa estão trabalhando para reproduzir o comportamento relatado.
“Podemos confirmar que esta não é uma vulnerabilidade”, afirmou a funcionária. Representantes da Adobe não quiseram se manifestar.
Fonte: FATOR GEEK
Nenhum comentário:
Postar um comentário