Siguen los problemas para Adobe. En esta ocasión es Adobe Reader Mobile el producto afectado. La aplicación de Adobe para lectura de documentos pdf en dispositivos Android también se ve afectada por una grave vulnerabilidad.
 |
| Reader 11.2 para Android. Fuente: Securify |
Adobe ha publicado el boletín APSB14-12 que corrige una vulnerabilidad (con CVE-2014-0514) en Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android que permitiría la ejecución de código remoto debido a un fallo en la implementación de las APIs JavaScript. Según Google Play la aplicación está instalada en más de 100 millones de dispositivos.
En concreto el problema reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario. El fallo fue reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema y hasta una prueba de concepto.
Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace.
Más información:
Security update available for Adobe Reader Mobile
Adobe Reader for Android exposes insecure Javascript interfaces
Antonio Ropero
Twitter: @aropero
Deja un comentario