La vulnerabilidad podría afectar a millones de individuos y negocios que utilizan el software para visualización y edición de archivos con el formato PDF
Un laboratorio de investigación de seguridad informática con sede en Buenos Aires descubrió un problema grave en el Adobe Reader, uno de los programas más difundidos del mundo que permite leer los archivos en formato .PDF.
La empresa Core Security Technologies emitió una advertencia de seguridad para divulgar una vulnerabilidad que podría afectar a millones de individuos y negocios que utilizan el software de Adobe para visualización y edición de archivos con .PDF.
Investigadores de CoreLabs, el grupo de investigación de la compañía, determinaron que Adobe Reader podría ser explotado para obtener acceso a sistemas vulnerables utilizando un archivo de PDF especialmente preparado con contenido JavaScript malicioso.
Realizado el descubrimiento, CoreLabs alertó inmediatamente a Adobe acerca de la vulnerabilidad y desde entonces, ambas compañías han coordinado esfuerzos para crear un parche y hacerlo disponible para proteger a los usuarios del programa, según informó Core en un comunicado.
“Como sucede con la gran mayoría de las aplicaciones que usan los usuarios finales en máquinas de escritorio, la gran cantidad y complejidad de código de Adobe Reader creó una amplia superficie con potenciales vulnerabilidades y, en este caso, la inclusión de un motor JavaScript completo introdujo los mismos tipos de fallas de implementación encontrados comúnmente en otros programas sofisticados para usuarios finales”, explicó Ivan Arce, CTO de Core Security.
“El bug fue descubierto mientras investigábamos un problema similar previamente revelado en otra aplicación para visualizar archivos PDF, los que resalta que hay errores básicos de implementación que pueden ser comunes a diversos fabricantes. Creo que la industria de software de Argentina debería tomar nota de esta problemática para evitar repetirla”, agregó.
Adobe Reader es la aplicación más difundida del mundo para compartir documentos electrónicos. El software puede ser utilizado para ver, buscar, firmar digitalmente, verificar, imprimir y colaborar en archivos de Adobe PDF, e incluye funcionalidad de scripting para permitir una amplia gama de extensiones y adaptaciones por los usuarios finales.
Para explotar la vulnerabilidad es necesario que algún usuario abra un archivo de PDF especialmente preparado a tal fin, lo que le permitiría a un potencial atacante obtener acceso a sistemas vulnerables con los privilegios del usuario corriendo Adobe Reader. La versión 9 de Adobe Reader, lanzada en junio de este año, no es vulnerable a este problema, aclaró Core.
Adobe lanzó una actualización de seguridad para solucionar la versión 8.1.2 de Reader. Como alternativa, los usuarios de versiones afectadas pueden deshabilitar la función JavaScript en el menú Edición/Preferencias del software.
Detalles
Mientras se investigaba la viabilidad de explotar una vulnerabilidad previamente revelada en Foxit Reader (CVE-2008-1104), un investigador de CoreLabs descubrió que Adobe Reader tenía la misma falla de seguridad.
Luego de una revisión inicial del bug de implementación, se creía que, aunque presente, el problema aparentemente no era explotable en Adobe Reader debido a que el programa usa dos manejadores de excepciones estructuradas (Structured Exception Handlers).
Una diferencia básica entre las aplicaciones Adobe y Foxit consiste en la manera en que realizan las verificaciones de seguridad. Por ello, a primera vista la falla no parecía explotable en Adobe dado que no había manera de controlar el primer manejador de excepciones.
Sin embargo, una vez realizado un examen más minucioso del código, se descubrió la existencia de otra vulnerabilidad de desbordamiento de buffer que se manifiesta antes de la llamada al código relacionado con la vulnerabilidad ya conocida.
Un archivo PDF preparado específicamente con código JavaScript para manipular el patrón de asignación de memoria del programa y disparar la vulnerabilidad puede permitirle a un atacante ejecutar cualquier programa de su elección en la computadora del usuario que intente abrirlo usando una versión vulnerable de Adobe Reader.
La vulnerabilidad fue descubierta por Damián Frizza, investigador de CoreLabs y desarrollador de software del equipo de Exploit Writers de Core Impact, un producto que evalúa sistemas de seguridad.
La vulnerabilidad revelada previamente que motivó esta investigación (CVE-2008-1104) fue descubierta en Foxit Reader por Dyon Balding, de Secunia Research, y publicada el 20 de mayo de 2008.
Para mayor información acerca de esta falla ver la advertencia de seguridad CORE-2008-0526 en http://www.coresecurity.com/
CoreLabs, el centro de investigación y desarrollo de Core Security Technologies con sede en Buenos Aires, procura anticipar las necesidades y requerimientos futuros para tecnologías de seguridad de la información.
La investigación es llevada a cabo en varias áreas de seguridad de la información, incluyendo vulnerabilidades en software y sistemas, simulación y planeamiento de ciber-ataques, auditoría de código fuente y criptografía.
Los resultados de estos esfuerzos abarcan la formalización del problema, identificación de vulnerabilidades, soluciones originales y prototipos para nuevas tecnologías.
CoreLabs publica regularmente advertencias de seguridad, papers técnicos, información de proyectos y herramientas de software abierto de uso público en http://www.coresecurity.com/corelabs/
http://tecnologia.infobaeprofesional.com/notas/74217-Un-laboratorio-argentino-descubrio-un-problema-critico-en-Adobe-Reader.html
