jueves, 1 de marzo de 2018

Ejecución remota de código en Adobe Acrobat DC

Un reciente reporte de Cisco Talos alerta de la vulnerabilidad corregida en Adobe Acrobat DC, que permitiría ejecutar código de manera remota al procesar Javascript embebido en un PDF malicioso.


Talos ha publicado los detalles de la vulnerabilidad descubierta por el analista Aleksandar Nikolic. En su reporte, aclaraba que, aun existiendo una correcta gestión del campo "document ID" 
cuando éste excedía determinada longitud:
trailer <<  /Root 1 0 R  /ID   <AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA><a>  >>
Si se referenciaba mediante código Javascript embebido a ese anterior ID, se podría generar un desbordamiento de pila debido a una incorrecta comprobación de límites (CVE-2018-4901). Una simple llamada como "this.docID" podría generar el desbordamiento de memoria:
41 0 obj <<
>>
stream
    this.docID;
endstream
endobj
Un atacante sólo tendría que distribuir o facilitar una web con un PDF especialmente manipulado con código Javascript para conseguir ejecutar código de manera arbitraria.

Aunque no existen reportes de explotación previos de esta vulnerabilidad, clasificada como crítica, se recomienda actualizar a las últimas versiones de Acrobat y Reader lo antes posible.

 
Más información:

Adobe Acrobat Reader DC Document ID Remote Code Execution Vulnerabilityhttps://www.talosintelligence.com/vulnerability_reports/TALOS-2017-0505

Security updates available for Adobe Acrobat and Reader | APSB18-02
https://helpx.adobe.com/security/products/acrobat/apsb18-02.html