Tras
la publicación del último boletín de Adobe para Reader y Acrobat (APSB12-16),
los investigadores Mateusz Jurczyk y Gynvael Coldwind del Google Security Team
(y antiguos compañeros de Hispasec) han publicado su análisis en el que
concluyen que Adobe, aparte de dejar desprotegidos
a los usuarios de Linux (al no haberse publicado aún ninguna versión corregida)
no ha resuelto todas las
vulnerabilidades reportadas por ellos mismos.
El grupo se encargó del proyecto
de "fuzzing" del lector de
PDF integrado en Google Chrome. Detectaron más de 50 problemas. Los más críticos
han sido ya corregidos en el lector del navegador. Dado el "éxito" de la operación, decidieron
realizar las mismas pruebas contra el lector de Adobe.
Concluyeron sus pruebas con 60 fallos. 31 problemas podían ser "trivialmente explotables" y 9
potencialmente explotables. En junio, se pusieron en contacto con el equipo de
seguridad de Adobe, que se mostraron muy colaborativos desde el principio. Pero
el último boletín solo se corrigen
alrededor de 25 de estos fallos en sus 12 CVEs.
Así, los investigadores concluyen que existen unos 16 problemas no corregidos aún,
que podrían representar quizás unas 8 vulnerabilidades graves (puesto que 25
problemas dieron origen a 12 CVEs). Hay que tener en cuenta que los problemas detectados
por "fuzzing" pueden
tener origen en una misma vulnerabilidad, y ser corregidos con una misma
modificación del código.
Adobe afirma que lo solucionará en un futuro. El 27 de agosto se
cumple el límite de 60 días que los investigadores impusieron como condición para
dar detalles, pero puesto que Adobe no tiene intención de publicar un boletín
fuera de ciclo, parece que se cumplirá el plazo sin que haya parches. Así que
han decidido, ya, poner a disposición de todos sus descubrimientos, dado el
riesgo al que se enfrentan los usuarios.
Más información:
Trazas publicadas:
PDF fuzzing and Adobe Reader 9.5.1 and 10.1.3
multiple critical vulnerabilities
Fuzzing at scale
APSB12-16: Security update available for Adobe
Reader and Acrobat
José Mesa Orihuela
Sergio de los Santos
Twitter: @ssantosv