La empresa de seguridad con sede en Moscú, Group-IB, informó que las versiones actuales de Adobe Reader contienen una vulnerabilidad crítica que permite a los atacantes eludir el sandbox de la aplicación e inyectar un código malicioso en un sistema. Aparentemente, un exploit para el framework de ataque Black Hole ya está disponible para comprarlo en foros clandestinos, el costo aproximado es de $30 mil a $50 mil dólares.

En un video publicado en YouTube, Group-IB demuestra la vulnerabilidad utilizando la última versión de Reader 11.0); la serie de versiones 10, por tanto, son también vulnerables. Todo lo relacionado a características de protección de seguridad en Reader (incluso sandbox) puede observarse mientras están activas en el video, sin importar si el documento PDF específicamente diseñado para esto se ejecuta directamente en Reader o en un navegador a través del plug-in de Reader, no parece hacer una diferencia.

Group-IB no ha revelado el origen de la prueba de concepto de la demostración del exploit que se muestra en el video, ni revelado otro detalle sobre la falla, i públicamente ni con Adobe. Hablando con el blogger de seguridad, Brian Krebs, un portavoz de Adobe dijo que no han sido capaces de verificar las denuncias de Grupo-IB debido a la falta de información. La compañía dijo que planea tomar la iniciativa y “ponerse en contacto” con la empresa de seguridad.