jueves, 14 de febrero de 2013

0-day en Adobe Reader y nuevas funcionalidades y vulnerabilidades en Flash Player

Se ha confirmado que se está aprovechando una vulnerabilidad en Adobe Reader que permite ejecutar código con solo abrir un PDF. Además, en los últimos días, Adobe ha publicado dos boletines de seguridad que corrigen 19 vulnerabilidades en Flash Player, una de ellas también descubierta en forma de 0-day.

El 7 de febrero Adobe publicó un boletín fuera de ciclo, APSB13-04 que corregía dos vulnerabilidades que estaban siendo aprovechadas activamente por atacantes. CVE-2013-0633 y CVE-2013-0634 que afectan a las versiones de Flash Player para Windows explotadas a través de documentos Word con objetos Flash embebidos (SWF) especialmente manipulados. También eran distribuidas mediante páginas web.

Ese día también presentaron una nueva funcionalidad destinada a mitigar este problema de objetos Flash integrados en Office. Los usuarios de Office 2010 ejecutan el contenido incrustado en los documentos en "Modo protegido" que impide de forma predeterminada que se ejecute el contenido Flash si el documento viene de Internet (queda clasificado en esa zona). Pero en las versiones anteriores (las que usan la mayoría) el contenido se ejecuta sin restricción, por defecto y sin preguntar.

La nuevafuncionalidad de Flash Player hace que cuando detecta que se está ejecutando en Office anterior a 2010, aparecerá un diálogo para que el usuario decida si quiere ejecutar ese contenido. Algo muy parecido a la filosofía adoptada por Java recientemente.


Por otro lado, Adobe publica el día 12, además, el boletín correspondiente dentro del ciclo, APSB13-05, que corrige 17 vulnerabilidades en Flash, la mayoría de carácter crítico.

Y por último, FireEye acaba de descubrir que existe una nueva vulnerabilidad en Adobe Reader 9.5.3, 10.1.5, y 11.0.1 que está siendo aprovechada por atacantes. El ataque ejecuta código con solo visitar una web que intenta cargar un PDF. Una vez con el control del sistema, descarga el malware por un lado, y por otro, muestra un documento PDF "cebo" para evitar que la víctima detecte algo extraño. Han hablado con Adobe y se han reservado los aspectos técnicos hasta que exista un parche disponible.

Más información:

In Turn, It's PDF Time

Raising the Bar for Attackers Targeting Flash Player via Office Files

Security updates available for Adobe Flash Player



Sergio de los Santos
Twitter: @ssantosv

No hay comentarios:

Publicar un comentario en la entrada