Se ha anunciado la existencia de una vulnerabilidad en las versiones
recientes de Adobe Reader (anteriormente conocido como Acrobat Reader)
por la que un atacante remoto podría descubrir la existencia de
archivos en el sistema remoto e incluso llegar a leer determinados
tipos de archivos.
El problema se debe a un tipo de ataques conocido como XML External
Entity (XXE). Las versiones recientes de Adobe Reader permiten la
inclusión de código JavaScript en los archivos pdf. De igual forma, a
través de JavaScript se pueden incluir documetos XML dentro del pdf.
Estos documentos XML pueden hacer referencia a entidades externas
(External Entities) a través de URIs, y la mayoría de los analizadores
XML, incluido el empleado en Adobe Reader, permiten el acceso a
cualquier URI para entidades externas, incluidos archivos, a menos que
se diga específicamente lo contrario.
Para solucionar el problema Adobe ha publicado la versión 7.0.2 para
Windows, disponible en http://www.adobe.com/support/downloads/
En breve estará disponible la versión actualizada del lector para Mac
OS, hasta dicha publicación se recomienda desactivar el soporte
JavaScript.
antonior@hispasec.com
Más información:
XML External Entity vulnerability (Adobe Reader and Acrobat 7.0-7.0.1)
http://www.adobe.com/support/techdocs/331710.html
Adobe Reader 7 XML External Entity (XXE) Attack
http://www.securiteam.com/securitynews/5XP0B2KG0Q.html
Deja un comentario