Se han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad alta, que podrían permitir a un atacante remoto ejecutar código arbitrariodentro del sistema y provocar condiciones de denegación de servicio.
Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.
Las dos primeras vulnerabilidades(CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería ‘npdf.dll‘ que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.
En la vulnerabilidadcon CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.
Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.
Más información:
Nitro Pro PDF Handling Code Execution Vulnerability
Nitro Pro
Juan Sánchez
Deja una respuesta