dunanea

Puntos: 66.576, Nivel: 100

Actividad: 80%

La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por un problema muy parecido, necesitó solo 10 días para solucionar el fallo.
Es más que probable que el fallo fuese conocido incluso desde hace bastante más tiempo, y que Adobe tuviese constancia de su existencia. Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo público. El día 23, para complicar el asunto, aparece un exploit público para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe. Este ejemplo daba muchas pistas a los atacantes sobre cómo crear un exploit que permitiese la ejecución de código.

El día 26 de febrero, SourceFire (dueños del IDS snort) publica un parche rápido para mitigar el problema. El día 27, Secunia avisa a Foxit Reader, otro popular lector de PDF, de que también es vulnerable a este problema. 10 días después Foxit publica una actualización y lo soluciona. Adobe ha necesitado más de 20 días para publicar un parche para sólo algunas de sus versiones. Y contando desde que lo reconociera, que no significa que no estuviese al tanto desde bastante antes.

Adobe lo soluciona un día antes del prometido, pero solo a medias. Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para otros sistemas operativos.

Para colmo, recientemente se ha descubierto una nueva forma mucho más sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una carpeta que contenga un documento PDF especialmente manipulado (y basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema.


Opina sobre esta noticia:
Comentario para una-al-dia 11/03/2009. Adobe parchea a medias su vulnerabilidad casi un mes después, mientras Foxit Reader lo soluciona en 10 días

Más Información:

Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and
Acrobat
APSA09-01 - Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acrobat

Foxit Security Bulletins
Foxit Software - Foxit Reader 3.0 for Windows

26/02/2009 Adobe al más puro estilo Microsoft: parche no oficial para
Acrobat Reader
Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader - Hispasec - Una al día 26/02/2009

Quickpost: /JBIG2Decode ?Look Mommy, No Hands!?
Quickpost: /JBIG2Decode “Look Mommy, No Hands!” « Didier Stevens

__________________

To view links or images in signatures your post count must be 10 or greater. You currently have 0 posts.


"Comienza tu día con una sonrisa, verás lo divertido que es ir por ahí desentonando con todo el mundo."