miércoles, 11 de febrero de 2015

Nuevo anuncio de Project Zero, esta vez Adobe Reader

Una vez más, una vulnerabilidad reportada por Project Zero sale a luz, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el control de los sistemas afectados.

Los fabricantes van a tener una cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son 90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.

En esta ocasión, el fabricante vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer basado en "heap" en CoolType.dll.

El problema fue reportado por Mateusz Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.

Sin embargo, según Mateusz, la actualización adelantada por Adobe no incluía corrección para el problema en la plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera solucionado en todas las plataformas.

Han pasado varias actualizaciones desde que Adobe confirmara la próxima publicación del parche pero el problema no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política, ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.

¿Son suficientes  90 días para corregir una vulnerabilidad en un producto? ¿Es necesario hacer públicos todos los detalles del problema antes de que se publique el parche?

Más información:

Adobe Reader X and XI for Windows out-of-bounds write in CoolType.dll

una-al-dia (23/01/2015) Google anuncia vulnerabilidades en OS X



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada