Lỗ hổng trong trình xem PDF khiến người dùng WikiLeaks và các trang web gặp nguy hiểm

Một thành phần mã nguồn mở được sử dụng để hiển thị các tập tin PDF trên WikiLeaks.org và các trang web khác có chứa lỗ hổng có thể bị khai thác để khởi động cross-site scripting (XSS) và tấn công giả mạo nội dung nhắm vào khách truy cập trang.

Thành phần dễ bị xâm nhập được gọi là FlexPaper và được phát triển bởi một công ty gọi là Devaldi, có trụ sở tại New Zealand. Công ty này đã khẳng định các vấn đề, trong đó lần đầu tiên được báo cáo vào hôm thứ năm trên diễn đàn ủng hộ WikiLeaks và phát hành FlexPaper 2.3.0 để xử lý chúng.

Tuy nhiên, có vẻ như thành phần vẫn chưa được cập nhật trên WikiLeaks.org, do trang này vẫn sử dụng FlexPaper 2.1.2 trên một số trang vào thứ ba. Vụ việc xảy ra sau khi Wired báo cáo rằng trong năm 2012, FBI đã sử dụng một thành phần dựa trên Flash để theo dõi người dùng Tor và tìm địa chỉ IP (Internet Protocol) thực của họ trong hoạt động có chủ đích nhắm vào người dùng của các trang web khiêu dâm trẻ em được lưu trữ trên mạng Tor.

Vì khách truy cập WikiLeaks gồm rất nhiều người dùng coi trọng việc bảo mật và ẩn danh của họ, do đó, bất kỳ lỗ hổng nào trong các trang web có thể được sử dụng để làm lộ vị trí thực sự của họ được xem như là một mối đe dọa nghiêm trọng.

“Với thực tế là hầu hết các trình duyệt sử dụng các plugin cho phép đọc các file PDF, chúng tôi cực lực yêu cầu WikiLeaks liên kết trực tiếp với các tập tin PDF thay vì sử dụng phần mềm của bên thứ ba mà có thể đặt người dùng vào nguy hiểm”, một người dùng có tên Koyaanisqatsi, người đã báo cáo về các lỗ hổng trên diễn đàn WikiLeaks, lên tiếng.

Đó là những gì WikiLeaks đã làm với hai tài liệu mật về đi du lịch thông qua các sân bay sử dụng ID giả được cho là đã bị rò rỉ từ Cơ quan Tình báo Trung ương Mỹ. Trang web công khai các tài liệu vào hôm chủ nhật và kết nối trực tiếp đến các tập tin PDF thay vì hiển thị chúng trong trình xem tích hợp.

Pcworld