Fout in IE lekt privédata in online pdf's
Gepubliceerd: Donderdag 26 november 2009
Auteur: Tonie van Ringelestijn
Door een bug in Internet Explorer is gevoelige informatie uit 50 miljoen pdf-bestanden te halen, waaronder persoonsnamen.
De betreffende pdf-documenten tonen de locatie op de harde schijf waar het bestand is opgeslagen. Dat inzicht kan leiden tot het lekken van persoonsnamen of gebruikersnamen die zijn te herleiden tot personen. Ook welk besturingsysteem wordt gebruikt en andere informatie, zoals de namen van projecten, werkgroepen of producten, is te achterhalen uit de pdf-bestanden.
Via Google zijn 50 miljoen pdf-bestanden te vinden met verwijzingen naar interne schijflocaties, stelt beveiligingsbureau Inferno op basis van een eigen onderzoek. Volgens Inferno betekent dit een privacyrisico. Schijflocaties bevatten immers vaak de namen van personen. Ook met informate over het gebruikte besturingsysteem kunnen hackers hun voordeel doen.
Niet te zien in Adobe Reader
Die informatie is te vinden als pdf's zijn geprint vanuit Internet Explorer. De Microsoft-browser voegt dan het volledige interne schijfadres toe. Die informatie is niet altijd te zien in Adobe Reader, stelt Inferno, maar wel als het bestand wordt geopend in tekstprogramma's als Notepad. De schijflocaties staat ook in het geheugen van Google en andere zoekmachines. De enige manier om de schijflocatie weg te halen is het wissen van de betreffende tekst in een teksteditor.
Alle IE-versies
Alle versies van Internet Explorer bevatten deze bug. Een woordvoerder van Microsoft bevestigt dit tegenover The Register en zegt dat medewerkers werken aan een oplossing. Maar het softwarebedrijf ziet het niet als een beveiligingslek. Adobe heeft nog geen commentaar op de kwestie gegeven.
