El último boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos sin resolver

El grupo se encargó del proyecto de «fuzzing» del lector de PDF integrado en Google Chrome. Detectaron más de 50 problemas. Los más críticos han sido ya corregidos en el lector del navegador. Dado el «éxito» de la operación, decidieron realizar las mismas pruebas contra el lector de Adobe.

Concluyeron sus pruebas con 60 fallos. 31 problemas podían ser «trivialmente explotables» y 9 potencialmente explotables. En junio, se pusieron en contacto con el equipo de seguridad de Adobe, que se mostraron muy colaborativos desde el principio. Pero el último boletín solo se corrigen alrededor de 25 de estos fallos en sus 12 CVEs.

Así, los investigadores concluyen que existen unos 16 problemas no corregidos aún, que podrían representar quizás unas 8 vulnerabilidades graves (puesto que 25 problemas dieron origen a 12 CVEs). Hay que tener en cuenta que los problemas detectados por «fuzzing« pueden tener origen en una misma vulnerabilidad, y ser corregidos con una misma modificación del código.

Adobe afirma que lo solucionará en un futuro. El 27 de agosto se cumple el límite de 60 días que los investigadores impusieron como condición para dar detalles, pero puesto que Adobe no tiene intención de publicar un boletín fuera de ciclo, parece que se cumplirá el plazo sin que haya parches. Así que han decidido, ya, poner a disposición de todos sus descubrimientos, dado el riesgo al que se enfrentan los usuarios.

Trazas publicadas:

José Mesa Orihuela

Sergio de los Santos

Twitter: @ssantosv