Les attaques sur le Web se multiplient ces derniers temps. Après les animations Flash backdoorées et le ver MySpace qui utilise des vidéos Quicktime malicieuses, voici une attaque de type Cross Site Scripting, annoncée lors du CCC, et pouvant être utilisée par l'intermédiaire de n'importe quel site web. Seule condition : que ce site héberge un fichier PDF quelconque.

Comme souvent, c'est une fonctionnalité apparemment anodine qui a été détournée de son but initial (faciliter la vie des utilisateurs). Il s'agit ici d'"Open Parameters", fonctionnalité offerte par le plugin PDF d'Adobe pour Windows afin de pouvoir recevoir des paramètres par l'URL (zoom, affichage des barres de défilement, etc). Problème : les paramètres ne sont pas suffisamment vérifiés, ce qui permet d'y injecter du code HTML ou Javascript arbitraire.

Exemple : Un fichier PDF sur un site Web ne peut pas être bien méchant ! Et bien si :
http://www.victime.ext/fichier.pdf#toto=javascript:alert('On peut mettre du code arbitraire ici !');

Pour plus d'informations, voir le bulletin LEXSI s'y rapportant ( Réf. Lexsi 7950).