Le lecteur de PDF Flexpaper utilisé sur Wikileaks.org présente des risques de sécurité pour les utilisateurs

Posté par Koyaanisqatsi, 18 décembre 2014

WL ForumNous avons été mis au courant d’un risque potentiel de sécurité avec le logiciel open-source que Wikileaks utilise avec une bibliothèque Flash pour afficher les fichiers PDF au format .SWF
Le logiciel utilisé est Flexpaper qui utilise des flashvars non-statiques qui pourraient entraîner des attaques par Cross-Site Scripting.

Flexpaper est une bibliothèque Flash open-source pour charger les fichiers PDF https://code.google.com/p/flexpaper/ (Les développeurs sont conscients de la vulnérabilité et elle sera résolue dans les versions futures).

Deux vulnérabilités XSS et l’usurpation de contenus peuvent être utilisées par des usagers malveillants. Que ce soit pour affecter la vie privée des utilisateurs de Wikileaks, par exemple: l’utilisation de composants Flash spécifiquement pour désactiver et rendre visible un dispositif [de protection] derrière les utilisateurs du réseau Tor ou donner un lien vers du contenu externe pour discréditer Wikileaks, une chose que Wikileaks devrait éviter étant donné la nature des contenus publiés sur les serveurs de Wikileaks.

Une mention du dernier exemple du FBI pour désactiver et rendre visible les dispositifs [de protection] des utilisateurs: http://hackread.com/fbi-used-metasploit-decloak-expose-tor-users/

Compte tenu du fait que la plupart des navigateurs utilisent des plugins pour permettre la lecture des PDF, nous exhortons Wikileaks à donner directement le lien des fichiers PDF au lieu d’utiliser un logiciel tiers qui pourrait mettre en danger les utilisateurs.

Nous tenons à remercier Francisco Alonso @revskills http://twitter.com/revskills pour nous avoir fourni cette information.

Source: http://www.wikileaks-forum.com/security-support/608/-flexpaper-pdf-viewer-used-on-wikileaks-org-presents-security-risk-for-users/32700/;topicseen et https://twitter.com/wikileaks_forum/status/545868886009077760

Publicités

Le Forum WikiLeaks (ressource non-officielle de WikiLeaks) remet en question les Syria Files

WL Forum

Aujourd’hui, 17 janvier, à 12h44: Annonce concernant le board des Syria Files

Le Forum WikiLeaks annonce avec regret le retrait du board des « Syria Files » avec un effet immédiat.

Dans la lumière des événements actuels et du meurtre systématique de personnes innocentes par des insurgés, rebelles et terroristes étrangers, nous ne pensons pas que le forum puisse supporter cela plus longtemps.

Nous en sommes arrivés à la conclusion que la révélation des « Syria Files » n’a rien à voir avec le lancement d’alerte ou la fuite de documents, et ne fait que soutenir la destruction d’un gouvernement élu ayant conduit à la mort de plus de 60,000 syriens innocents.

Nous avons de sérieux doutes pour savoir si ces « fuites » ont quelque rapport que ce soit avec la politique de WikiLeaks, et ainsi, après avoir réfléchi à la situation, nous sommes arrivés à la conclusion que notre conscience ne nous permettra pas d’être une partie de la propagande de guerre contre un Etat souverain.

La page Facebook accompagnant les « Syria Files » a aussi été retirée.

Source: http://www.wikileaks-forum.com/index.php/topic,17057.msg43954.html
@wikileaks_forum

  • Creative Commons

    Ce blog est mis à disposition selon les termes de la Licence CC-BY-SA 4.0, sauf pour les contenus traduits depuis d'autres sites internet et qui restent la propriété des médias qui les ont publiés à l'origine.
  • Articles récents

  • Catégories

  • Archives

  • Publicités