viernes, 24 de julio de 2009

Adobe conocía su último "0 day" desde 2008

Tras unas horas de rumores Adobe confirmó que una vulnerabilidad en Flash Player estaba siendo aprovechada a través de ficheros PDF con su Adobe Reader. El fallo permitía la ejecución de código arbitrario con solo abrir un archivo PDF o visitar una web con Flash. Como le ocurrió a Microsoft, Adobe conocía el fallo desde 2008, pero no lo había solucionado y los atacantes se le adelantaron para usarlo en su contra. Otro golpe a Adobe.

Un día después de los rumores Adobe confirma la vulnerabilidad como crítica para todas las versiones de sus productos en sistemas Windows, Unix/Linux, Sun y Mac. En el ataque descubierto, el lector PDF llama al reproductor Flash al encontrar ese contenido dentro del documento PDF y es entonces cuando se produce la explotación de la vulnerabilidad. El documento PDF es un medio para llegar al reproductor y en principio no se trataría de una vulnerabilidad transversal, que afecte a varios productos de manera independiente sino que tanto Acrobat como Reader contienen la librería "authplay.dll" (y no autoplay.dll, como por error, indicamos en el correo de la una-al-día anterior) encargada de gestionar con el reproductor el contenido Flash.

El ataque por tanto, se produce aquí a través de archivos PDF con contenido Flash incrustado, aunque nada impide aprovechar el fallo al procesar Flash visitando una web. De hecho al parecer ya se han detectado ataques de este tipo. Cada vez más, puesto que el exploit se ha hecho público, y por tanto el riesgo aumenta considerablemente.

Según Paul Royal de PureWire, Adobe conocía el fallo desde diciembre de 2008, pero no lo había solucionado aún. Estaba en su base de datos de problemas desde casi hace ocho meses. Exactamente igual que le ocurrió a Microsoft con el problema en DirectShow, hasta que el fallo no ha sido descubierto independientemente por atacantes, no ha acelerado el proceso de parcheo. En estos momentos dice que tendrán un parche antes de que acabe julio, pero solo para algunos de sus productos afectados. Para ciertas plataformas, no se sabe cuándo habrá solución.

Un problema añadido en este caso es que JavaScript no es el "disparador" de la vulnerabilidad. Deshabilitarlo en el lector de PDF no protege, como venía siendo habitual. No hay forma sencilla de evitar que se ejecute el contenido Flash en Adobe. Y lo que es peor, aunque no se abran ficheros PDF en los que no se confía, el problema reside en Flash, por tanto con solo navegar con cualquier navegador con Flash instalado, se está en peligro.

La semana pasada, se descubrió que Adobe permitía la descarga de una versión vulnerable de Adobe Reader. Esta semana ha sufrido un problema grave de seguridad en su instalador, que todavía no ha parcheado. Si se suman los continuos problemas de seguridad mal gestionados, los últimos "0 day" en sus productos, y los PDF como vector de ataque preferido del malware, Adobe no pasa por su mejor momento.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Lectores PDF gratutios.
Http://pdfreaders.org

Adobe promises patch for seven-month old Flash flaw
http://www.computerworld.com/s/article/9135826/Adobe_promises_patch_for_seven_month_old_Flash_flaw

No hay comentarios:

Publicar un comentario en la entrada