Le lecteur de PDF Flexpaper utilisé sur Wikileaks.org présente des risques de sécurité pour les utilisateurs

Posté par Koyaanisqatsi, 18 décembre 2014

WL ForumNous avons été mis au courant d’un risque potentiel de sécurité avec le logiciel open-source que Wikileaks utilise avec une bibliothèque Flash pour afficher les fichiers PDF au format .SWF
Le logiciel utilisé est Flexpaper qui utilise des flashvars non-statiques qui pourraient entraîner des attaques par Cross-Site Scripting.

Flexpaper est une bibliothèque Flash open-source pour charger les fichiers PDF https://code.google.com/p/flexpaper/ (Les développeurs sont conscients de la vulnérabilité et elle sera résolue dans les versions futures).

Deux vulnérabilités XSS et l’usurpation de contenus peuvent être utilisées par des usagers malveillants. Que ce soit pour affecter la vie privée des utilisateurs de Wikileaks, par exemple: l’utilisation de composants Flash spécifiquement pour désactiver et rendre visible un dispositif [de protection] derrière les utilisateurs du réseau Tor ou donner un lien vers du contenu externe pour discréditer Wikileaks, une chose que Wikileaks devrait éviter étant donné la nature des contenus publiés sur les serveurs de Wikileaks.

Une mention du dernier exemple du FBI pour désactiver et rendre visible les dispositifs [de protection] des utilisateurs: http://hackread.com/fbi-used-metasploit-decloak-expose-tor-users/

Compte tenu du fait que la plupart des navigateurs utilisent des plugins pour permettre la lecture des PDF, nous exhortons Wikileaks à donner directement le lien des fichiers PDF au lieu d’utiliser un logiciel tiers qui pourrait mettre en danger les utilisateurs.

Nous tenons à remercier Francisco Alonso @revskills http://twitter.com/revskills pour nous avoir fourni cette information.

Source: http://www.wikileaks-forum.com/security-support/608/-flexpaper-pdf-viewer-used-on-wikileaks-org-presents-security-risk-for-users/32700/;topicseen et https://twitter.com/wikileaks_forum/status/545868886009077760

Advertisements
Poster un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :