Acessibilidade
Adobe
Entrar Privacidade Minha Adobe

Conselho sobre segurança

Soluções alternativas no lado do servidor para impedir uma possível vulnerabilidade de scripts entre sites nas versões 7.0.8 e anteriores do Adobe Reader e do Acrobat

Data de liberação: 9 de janeiro de 2007

Identificador da vulnerabilidade: APSA07-02

Número CVE: CVE-2007-0045

Resumo

Este Conselho sobre segurança tem o objetivo de apresentar soluções alternativas no lado do servidor para que operadores de sites impeçam a vulnerabilidade de scripts entre sites documentada no Boletim de segurança APSB07-01. A Adobe recomenda aos usuários do Adobe Reader e do Acrobat atualizar os softwares* para evitar o problema.

Solução

A Adobe recomenda aos usuários do Adobe Reader e do Acrobat atualizar os softwares* para evitar o problema. As possíveis soluções alternativas no lado do servidor estão detalhadas abaixo.

OBSERVAÇÃO: antes de aplicar qualquer uma destas alterações de configuração aos servidores de produção, você deve testá-las para se certificar de que funcionarão no seu ambiente.

Modifique o tipo de MIME de PDFs.
Uma forma de impedir que Plug-ins do Adobe Reader e do Acrobat passem JavaScript para o navegador é forçar a abertura de PDFs fora do navegador e do Adobe Reader ou do Acrobat Professional. Para isso, altere o tipo de MIME (Multipurpose Internet Mail Extension) da extensão de arquivo .pdf (application/pdf) para um binário genérico (application/octet-stream), o qual o navegador solicitará ao usuário para abrir ou salvar.


IIS 6.0
  1. Abra o Gerenciador dos Serviços de Informações da Internet.
  2. Localize a pasta que contém os PDFs do site.
  3. Clique na pasta com o botão direito do mouse e selecione Propriedades.
  4. Selecione a guia Cabeçalhos HTTP.
  5. Clique no botão Tipos de MIME….
  6. Clique no botão Novo... para criar um novo tipo de MIME.
  7. Digite pdf em Extensão e application/octet-stream em Tipo de MIME.
  8. Clique em OK.
  9. Clique em OK.
  10. Clique em OK para aplicar as alterações.

Observação: esta propriedade pode ser alterada em um arquivo específico.

Apache 2.2.3

Use mod_mime e AddType ou mod_rewrite

  1. Abra httpd.conf ou .htaccess
  2. Localize a seção <IfModule mime_module>
  3. Insira AddType application/octet-stream .pdf
  4. Feche e salve httpd.conf ou .htaccess
  5. Reinicie o serviço Apache

Adicione o cabeçalho Content-Disposition
Assim como a alteração de um tipo de MIME, é possível adicionar um cabeçalho Content-Disposition à resposta do servidor.


IIS 6.0
  1. Abra o Gerenciador dos Serviços de Informações da Internet.
  2. Localize a pasta que contém os PDFs do site.
  3. Clique na pasta com o botão direito do mouse e selecione Propriedades.
  4. Selecione a guia Cabeçalhos HTTP.
  5. Clique no botão Tipos de MIME….
  6. Clique no botão Adicionar da seção Cabeçalhos HTTP Personalizados.
  7. Adicione um cabeçalho chamado Content-Disposition com um valor de

attachment; nomedoarquivo=seuarquivo.pdf

  1. Clique em OK para aplicar as alterações.

Observe que esta configuração é aplicada por arquivo, individualmente.

Apache 2.2.3

Use mod_headers

  1. Abra httpd.conf
  2. Adicionar

<IfModule mod_headers.c>
  <FilesMatch "\.pdf$">
      Header append Content-Disposition "attachment;"
  </FilesMatch>
</IfModule>

  1. Feche e salve httpd.conf
  2. Reinicie o serviço Apache

Armazene o PDF em um local que não possa ser acessado via Web
Para finalizar, em um ambiente onde o acesso aos arquivos de configurações não é possível, considere criar um código de servidor (ColdFusion, Java, PHP, ASP.NET etc.) para ler o arquivo e enviá-lo de volta como parte da Resposta.  Por exemplo, MyPDF.cfm poderia ser um script que retorna o PDF real.
Observação: ainda assim você precisará definir Response.ContentType como “application/pdf” ou “application/octet-stream”. Para obter mais informações, releia a documentação sobre a linguagem do servidor.

Classificação da gravidade

A Adobe considera ser este um problema importante* e recomenda que os usuários afetados atualizem seus softwares.

Detalhes

Este Conselho sobre segurança tem o objetivo de apresentar soluções alternativas no lado do servidor para que operadores de sites impeçam a vulnerabilidade de scripts entre sites documentada no Boletim de segurança APSB07-01. Uma vulnerabilidade de scripts entre sites (XSS) nas versões 7.0.8 e anteriores do Adobe Reader e do Acrobat poderia permitir que invasores remotos injetassem JavaScript arbitrário em uma sessão do navegador. Este problema poderia ocorrer quando um usuário clicasse em um link mal-intencionado para um arquivo PDF. A capacidade de exploração depende do navegador e da versão do navegador que está sendo usada. Esta vulnerabilidade não permite a execução de código binário. Esse problema pode ser explorado remotamente. A Adobe recomenda aos usuários do Adobe Reader e do Acrobat atualizar os softwares* para evitar o problema.

 

Produtos

Baixar

Suporte e aprendizado

Comprar

Empresa

Escolha sua região

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Termos de uso | Privacidade | Cookies