viernes, 20 de junio de 2003

Vulnerabilidades en diversos visualizadores de archivos .PDF

Recientemente se han descrito diversas vulnerabilidad en diversos
programas para la visualización de archivos PDF que puede permitir la
ejecución de código arbitrario en el momento de acceder al contenido
de un archivo PDF expresamente creado.

Concretamente, la vulnerabilidad se encuentra en el hecho de que los
enlaces que hacen referencia a programas externos pueden incluir
algunos caracteres de control, lo que puede ser aprovechado para
forzar la ejecución de órdenes arbitrarias, dentro del contexto de
seguridad del usuario que está visualizando el archivo PDF.

Los programas vulnerables a estos problemas de seguridad son Adobe
Acrobat Reader (versiones 4.x y 5.x, confirmado en las versiones para
Unix y probablemente también en las versiones para Mac y Windows) y
Xpdf 1.0. Es posible que otros programas visualizadores de archivos
.PDF también se vean igualmente afectados.

En el momento de redactar este boletín, no hay versiones de ninguno de
estos programas que eliminen las vulnerabilidades, por lo que
aconsejamos a los lectores de "Una al día" aplicar criterios de
prudencia antes de abrir un archivo PDF.


Xavier Caballé
xavi@hispasec.com


Más información:

Xpdf Command Execution
http://www.secunia.com/advisories/9037/

Adobe Acrobat Reader Command Execution
http://www.secunia.com/advisories/9038/

Vulnerability Note VU#200132: Various *NIX PDF readers/viewers execute
commands embedded within hyperlinks
http://www.kb.cert.org/vuls/id/200132

Adobe Acrobat Reader
http://www.adobe.com/products/acrobat/readermain.html

Xpdf
http://www.foolabs.com/xpdf/about.html