Accesibilidad
Adobe
Registrarse Privacidad Mi Adobe

Recomendaciones de seguridad

Alternativas de servidor para prevenir la vulnerabilidad de ataques potenciales de secuencia de comandos en varios sitios web en la versión 7.0.8 y en versiones anteriores de Adobe Reader y Acrobat

Fecha de publicación: 9 de enero de 2007

Identificador de vulnerabilidad: APSA07-02

Número CVE: CVE-2007-0045

Resumen

La presente recomendación de seguridad tiene como objeto proporcionar a los administradores de sitios web alternativas de servidor que les permitan prevenir la vulnerabilidad de ataques de secuencia de comandos en varios sitios web documentada en el boletín de seguridad APSB07-01. Adobe recomienda a los usuarios de Adobe Reader y Acrobat la actualización del software a fin de evitar este problema.

Solución

Adobe recomienda a los usuarios de Adobe Reader y Acrobat la actualización del software a fin de evitar este problema. Las posibles alternativas de servidor se detallan a continuación.

NOTA: Antes de aplicar cualquiera de estos cambios de configuración a los servidores de producción, es conveniente probarlos para asegurarse de que funcionan correctamente en el entorno.

Modifique el tipo MIME de los PDF.
Una de las formas de evitar que los plug-ins de Adobe Reader y Acrobat inserten JavaScript en el navegador consiste en configurar la apertura de los PDF fuera del navegador y de Adobe Reader o Acrobat Professional. Para hacerlo, cambie el tipo MIME (Multipurpose Internet Mail Extension) de la extensión de archivo .pdf (application/pdf) a un binario genérico (application/octet-stream). El explorador web preguntará entonces al usuario si desea abrirlo o guardarlo.


IIS 6.0
  1. Abra el Administrador de servicios de Internet Information Server.
  2. Localice la carpeta que contiene los PDF en su sitio web.
  3. Haga clic con el botón secundario en la carpeta y seleccione Propiedades.
  4. Seleccione la ficha Encabezados HTTP.
  5. Haga clic en el botón Tipo MIME…
  6. Haga clic en el botón Nuevo... para crear un nuevo tipo MIME.
  7. Escriba pdf para la Extensión yapplication/octet-stream para el Tipo MIME.
  8. Haga clic en Aceptar.
  9. Haga clic en Aceptar.
  10. Haga clic en Aceptar para aplicar los cambios.

Nota: Esta propiedad puede cambiarse en un archivo específico.

Apache 2.2.3

Utilice mod_mime y AddType o mod_rewrite.

  1. Abra httpd.conf o .htaccess.
  2. Localice la sección <IfModule mime_module>.
  3. Inserte AddType application/octet-stream .pdf.
  4. Cierre y guarde httpd.conf o .htaccess.
  5. Reinicie Apache Service.

Añada el encabezado Content-Disposition.
Del mismo modo que cambió el tipo MIME, podrá añadir un encabezado Content-Disposition a la respuesta del servidor.


IIS 6.0
  1. Abra el Administrador de servicios de Internet Information Server.
  2. Localice la carpeta que contiene los PDF en su sitio web.
  3. Haga clic con el botón secundario en la carpeta y seleccione Propiedades.
  4. Seleccione la ficha Encabezados HTTP.
  5. Haga clic en el botón Tipo MIME….
  6. Haga clic en el botón Agregar en la sección de encabezados HTTP personalizados.
  7. Agregue un encabezado llamado Content-Disposition con un valor

attachment; filename=yourfile.pdf

  1. Haga clic en Aceptar para aplicar los cambios.

Tenga en cuenta que este ajuste se aplicará a cada archivo de forma individual.

Apache 2.2.3

Utilice mod_headers.

  1. Abra httpd.conf.
  2. Agregue

<IfModule mod_headers.c>
  <FilesMatch "\.pdf$">
      Header append Content-Disposition "attachment;"
  </FilesMatch>
</IfModule>

  1. Cierre y guarde httpd.conf.
  2. Reinicie Apache Service.

Almacene el PDF en una ubicación que no esté accesible desde la web.
Por último, en los entornos en los que no sea posible acceder a los archivos de configuración, considere la posibilidad de crear un código de servidor (ColdFusion, Java, PHP, ASP.NET, etc.) para leer el archivo y volver a enviarlo como parte de la respuesta.  Por ejemplo, MyPDF.cfm podría ser una secuencia de comandos que enviase de vuelta el PDF real.
Nota: Aún debe definir Response.ContentType como “application/pdf” o “application/octet-stream”. Consulte la documentación del lenguaje de servidor que esté utilizando para obtener más información.

Índice de gravedad

Adobe lo define como un problema importante* y recomienda a los usuarios afectados que actualicen su software.

Detalles

La presente recomendación de seguridad tiene como objeto proporcionar a los administradores de sitios web alternativas de servidor que les permitan prevenir la vulnerabilidad de ataques de secuencia de comandos en varios sitios web documentada en el boletín de seguridad APSB07-01. Una vulnerabilidad frente a ataques de secuencia de comandos en varios sitios web (XSS) en la versión 7.0.8 y en versiones anteriores de Adobe Reader y Acrobat podría permitir a intrusos remotos la ejecución de JavaScript arbitrario en una sesión del navegador. Este problema podría surgir cuando el usuario hace clic en un vínculo colocado de forma malintencionada en un archivo PDF. Sus posibilidades de explotación dependen del tipo y versión de navegador que se utilice. Esta vulnerabilidad no permite la ejecución de código binario. Este problema se puede explotar de forma remota. Adobe recomienda a los usuarios de Adobe Reader y Acrobat la actualización del software a fin de evitar este problema.

 


Recomendaciones de seguridad
Servicio de notificación*
Recursos*
Enviar alertas*
Índices de gravedad

Productos

Descargar

Asistencia técnica y aprendizaje

Comprar

Empresa

Seleccione su región

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Condiciones de uso | Privacidad | Cookies