Falha no visualizador de PDF de código aberto pode colocar usuários do WikiLeaks, outros em risco

Um componente de código aberto usado para exibir arquivos PDF no WikiLeaks.org e em outros sites contém vulnerabilidades que podem ser exploradas para lançar scripts entre sites (XSS) e ataques de falsificação de conteúdo contra visitantes.

O componente vulnerável é chamado FlexPaper e é desenvolvido por uma empresa chamada Devaldi, com sede na Nova Zelândia. A empresa confirmou os problemas, que foram divulgados pela primeira vez na quinta-feira no fórum de apoiadores do WikiLeaks, e lançou o FlexPaper 2.3.0 para resolvê-los.

No entanto, parece que o componente ainda não foi atualizado no WikiLeaks.org, que foi Ainda usando FlexPaper 2.1.2 em algumas páginas terça-feira

[Leia mais: Como remover malware do seu PC com Windows]

O incidente vem após Wired informou na semana passada que em 2012 o FBI usou um componente baseado em Flash para Decloak usuários Tor e encontrar seus endereços IP (Internet Protocol) reais em uma operação que visava usuários de sites de pornografia infantil hospedados na rede Tor.

Como o público do WikiLeaks inclui muitos usuários que valorizam sua privacidade e anonimato, qualquer vulnerabilidade no site que poderia ser usado para expor sua localização real provavelmente será visto como uma ameaça séria.

“Dado o fato de que a maioria dos navegadores usa plug-ins para permitir a leitura de PDFs, recomendamos veementemente que o WikiLeaks faça links diretos para Arquivo PDF Em vez de usar softwares de terceiros que poderiam colocar os usuários em risco ”, disse um usuário chamado Koyaanisqatsi, que relatou as falhas no fórum WikiLeaks.

Foi isso que o WikiLeaks fez com dois documentos secretos sobre como viajar por aeroportos usando identidades falsas. supostamente vazou da Agência Central de Inteligência dos EUA. O site publicou os documentos no domingo e os vinculou diretamente aos arquivos PDF, em vez de exibi-los em um visualizador incorporado.