domingo, 2 de octubre de 2011

Adobe no solucionará un problema de ejecución de código en Photoshop Elements 8

Aunque ya no tiene soporte, se ha publicado una vulnerabilidad que afecta a Photoshop Elements 8 y versiones inferiores. Descubierta por Gjoko Krstic, permite ejecutar código arbitrario. El problema es que fue descubierta mientras que la versión 8 era la última de la rama.

Photoshop Elements es el programa de diseño, edición y creación de imágenes más usado en la actualidad. Es usado ampliamente en el retoque fotográfico. La vulnerabilidad provoca un desbordamiento de memoria intermedia cuando se procesan ficheros con formato .ABR (brushes) o .GRD (gradients), lo que lleva a la ejecución de código en el equipo que abra ficheros de este tipo. Se han dado todos los detalles técnicos del fallo.

La vulnerabilidad fue reportada al fabricante el 9 de marzo de 2010, cuando sólo se distribuía la versión 8 del software. No es hasta el 20 de septiembre de ese mismo año que Adobe crea la nueva versión 9. Esta nueva versión no es vulnerable a este ataque, pero aún no aparece ninguna solución para la versión anterior ni se hace público el fallo.

Casi un año después, el 30 de septiembre de 2011 se pública esta vulnerabilidad identificada como APSA11-03 o CVE-2011-2443 que afecta a la rama 8. Adobe alega que, al no estar ya soportada, no se va a publicar un parche para esta vulnerabilidad y anima a los usuarios a que actualicen las versiones 9 y 10, que no se ven afectadas.

Por lo que se deduce de la cronología desvelada ahora por su descubridor, Adobe ignoró la vulnerabilidad en la versión 8 durante unos seis meses, mientras preparaba la nueva versión 9 de su software y la corregía sin informar a nadie. Ahora que el programa ya no tiene soporte, hace públicos todos los detalles (coordinándose con el descubridor) y anima a los usuarios a actualizarse (y por tanto, a pasar por caja) para poder solucionarlo.

Adobe no las única que utiliza la seguridad como aliciente para que los usuarios actualicen a versiones más modernas de sus programas, pero parece irresponsable dejar pasar un año y medio desde que se descubre un fallo para informar del potencial peligro que sufren los usuarios de esa versión. En este caso, Adobe ha confiado en que el descubridor mantenga pacientemente en secreto el problema, pero en tantos meses, se puede dar la circunstancia de que sea descubierta por otros investigadores que posean otras intenciones. Otro dato que resulta curioso es que, por razones desconocidas, el descubridor esperó desde septiembre de 2009 a marzo de 2010 para informar a Adobe de que había descubierto la vulnerabilidad.


Víctor Antonio Torre
vtorre@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Adobe Security Advisory:
http://www.adobe.com/support/security/advisories/apsa11-03.html

PoC:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5049.php

No hay comentarios:

Publicar un comentario en la entrada