Portál AbcLinuxu, 11. května 2025 17:10

Zranitelnost CVE-2024-4367 v PDF.js (Firefox < 126)

Příspěvek na blogu Codean Labs rozebírá zranitelnost CVE-2024-4367 v PDF.js, tj. mj. prohlížeči PDF souborů ve Firefoxu. Při otevření útočníkem připraveného pdf souboru může být spuštěn libovolný kód v JavaScriptu. Vyřešeno ve Firefoxu 126.

20.5.2024 17:55 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

20.5.2024 21:59 X
Rozbalit Rozbalit vše titulek
Odpovědět | Sbalit | Link | Blokovat | Admin
PDF.js runs under the origin resource:pdf.js. This prevents access to local files, but it is slightly more privileged in other aspects. For example, it is possible to invoke a file download (through a dialog), even to “download” arbitrary file: URLs.
simple workaround is to set the PDF.js setting isEvalSupported to false. This will disable the vulnerable code-path. If you have a strict content-security policy (disabling the use of eval and the Function constructor), the vulnerability is also not reachable

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.