El visualizador de documentos PDF de la compañía Adobe Systems es
sensible a un ataque por desbordamiento de búfer en algunas de sus
versiones para Windows 95/98/NT/2000. Este problema da lugar a la
caída del Sistema Operativo de Microsoft, y puede llegar a permitir la
ejecución de código malicioso.
El problema aparece cuando al generar un documento PDF (Portable
Document Format), el atacante inserta un numero indeterminado de
caracteres en la cabecera destinada a ofrecer la información del
lenguaje en el que está generado el documento. Exactamente el problema
surge en el tratamiento de las cadenas /Registry y /Ordering. El campo
/Ordering se emplea para expresar el nombre del país en el que se
generó el documento, por ejemplo:
/Ordering(Japan1)
Bastará incluir una cadena de gran tamaño en el nombre del país, para
provocar el desbordamiento.
/Ordering(AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA….)
Al ejecutar el Adobe Acrobat Reader con el fin de visualizar el
documento, éste nos producirá una ralentización del servidor llegando
a la posterior caída del sistema y producirá la sobrescritura del EIP.
Llegado a este punto, si el archivo pdf incluyera código malévolo éste
podría llegar a ejecutarse y permitiría al atacante hacerse con el
control de la máquina.
Las versiones afectadas por esta vulnerabilidad son:
Acrobat Reader 3.0J para Windows95/98/NT/2000
Acrobat Reader 4.0J para Windows95/98/NT/2000
Acrobat Reader 4.05J para Windows95/98/NT/2000
Acrobat 3.0J para Windows95/98/NT/2000
Acrobat 4.0J para Windows95/98/NT/2000
Acrobat 4.05J para Windows95/98/NT/2000
Adobe Acrobat Business Tools para Windows95/98/NT/2000
Adobe Acrobat FillIn para Windows95/98/NT/2000
Adobe ha publicado un parche para remediar el problema:
ftp://ftp.adobe.com/pub/adobe/acrobat/win/4.x/ac405up2.exe
Más información:
Adobe:
http://www.adobe.com/misc/pdfsecurity.html
Parche:
ftp://ftp.adobe.com/pub/adobe/acrobat/win/4.x/ac405up2.exe
Securityfocus:
http://www.securityfocus.com/bid/1509
Bugtraq
antonio_roman@hispasec.com
