miércoles, 29 de abril de 2009

De nuevo, "0 day" en Adobe Acrobat

Adobe ha confirmado que existe otra grave vulnerabilidad en Adobe Reader que parece estar siendo aprovechada por atacantes para ejecutar código en el sistema (tanto Windows como cualquier otro sistema operativo que lo soporte).

Adobe ha publicado en su blog una alerta, reconociendo un grave fallo de seguridad del que se conocen todos los detalles, e incluso existe exploit público. El fallo está en la función getAnnots y permite a un atacante, de forma muy sencilla, ejecutar código. Solo tiene que crear un documento PDF con una anotación, y añadir un script al PDF a través de la función OpenAction.

Afecta a todas las versiones conocidas, en sus ramas 9, 8 y 7 y en sus versiones para Mac, Linux y Windows. La única contramedida oficial es, de nuevo, deshabilitar JavaScript.

Adobe se está convirtiendo desde hace ya muchos meses, en objetivo de los atacantes. Es un software popular, los usuarios todavía confían en los documentos PDF (los tienen por inofensivos), no suelen actualizar el lector... y lo más importante: parece que Adobe tiene muchos errores graves todavía por descubrir.

Hay que esperar a ver cómo evolucionan los acontecimientos. Adobe solucionó su último gravísimo problema de seguridad (ocurrido hace solo dos meses) de una forma poco efectiva. Dejó a sus usuarios más de un mes sin actualizaciones. Los de la rama 7 fueron "abandonados" incluso por más tiempo.

En VirusTotal.com hemos detectado claramente la tendencia al alza de análisis de archivos PDF en las últimas horas, sin duda motivados por la alerta generada en torno a este "0 day". Si la media diaria recibida en VirusTotal.com está entre 150 y 200 archivos en formato PDF, hoy ya vamos por más de 400 archivos analizados a mediodía. Ayer superamos los 300.

Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Hay un buen puñado donde elegir para todas las plataformas en:
http://pdfreaders.org/


Sergio de los Santos
ssantos@hispasec.com


Más información:

Update on Adobe Reader issue
http://blogs.adobe.com/psirt/2009/04/update_on_adobe_reader_issue.html

11/03/2009 Adobe parchea a medias su vulnerabilidad casi un mes después,
mientras Foxit Reader lo soluciona en 10 días
http://www.hispasec.com/unaaldia/3791

No hay comentarios:

Publicar un comentario en la entrada