• Tweet

Dos nuevas vulnerabilidades de seguridad fueron descubiertas en ésta semana en la versión del software Version Cue de Adobe Systems, el segundo y tercer problemas de seguridad descubiertos en el software de la compañía en menos de dos semanas, de acuerdo a la firma consultora de seguridad iDefense.

Ambos defectos permiten obtener a los atacantes locales, privilegios de root en una máquina con Version Cue, y manipular el archivo versión en el software Creative Suite de Adobe, de acuerdo a Michael Sutton, director de iDefense Labs en iDefense, una empresa de VerySign.

Un problema es una "vulnerabiliadad al cargar una biblioteca" que permite a potenciales hackers cargar una biblioteca ejecutando un método desde la línea de comandos de VCNactive, una aplicación raíz en Version Cue, dijo Rich Johnson, ingeniero de seguridad en iDefense Labs. De esta forma, alguien podría tomar el control completo de un sistema y ganar privilegios de root, permitiéndoles introducir códigos maliciosos.

La otra forma de que alguién podría ganar privilegios de root sobre Version Cue es explotando el archivo de registro creado cuando la aplicación raíz VCNative inicia su ejecución, añadió. El archivo de registro siempre es llamado de la misma forma, y si una persona "conoce lo que se llama, podría colocar un archivo en esa ubicación que permitiera redireccionar desde ese archivo a una ubicación escogida, pudiendo entonces sobrescribir archivos especiales del sistema con eso", dijo Johnson.

Aunque los reportes publicados pretendieron que los problemas afectaban la versión más reciente de la suite, Creative Suite 2, el portavoz de Adobe dijo en una entrevista el martes, que ese no era el caso. Los problemas solamente afectan la versión previamente liberada de Creative Suite, que se liberó en agosto del 2003, dijo Bob Schaffel, gerente de producción de Version Cue para Adobe.

Adobe ha publicado un parche para ambas vulnerabilidades, que puede ser descargado de http://www.adobe.com/support/security/main.html#vcuemac, añadió.

Las vulnerabilidades fueron descubiertas por un individuo que solamente quiso ser identificado por su nombre código de línea, "vade79", y fueron reenviadas a iDefense con el programa del contribuyente de la vulnerabilidad, dijo Sutton.

Sutton dijo que las vulnerabilidades estan "lejos de las vulnerabilidades más atractivas que siempre hemos visto" ya que pueden ser explotadas solamente por atacantes locales, significando que ello deben tener acceso a las máquinas para explotar las vulnerabilidades. También, las vulnerabilidades solamente afectan versiones de Creative Suite para Apple OS X, de manera que esta es una "base de usuarios limitada" que es afectada, añadió.

No obstante el riesgo de la vulnerabilidad se hace más significativo por el factor de que la vulnerabilidad es relativamente fácil de explotar una vez que un usuario tiene acceso a una máquina, y que el código del exploit que puede ser usado para aprovecharse de las vulnerabilidades ya fue liberado públicamente, dijo Sutton. Aunque él no sabe dónde se originó el código, puede ser encontrado en el sitio Web del Equipo de Respuesta a Incidentes de Seguridad de Francia, www.frsirt.com, dijo Sutton.

Con el descubrimiento de las vulnerabilidades en Version Cue, hasta ahora han sido tres las vulnerabilidades descubiertas en el software de Adobe en menos de dos semanas. El 16 de agosto, Adobe publicó su propio boletín de seguridad de un buffer overflow descubierto en Adobe Acrobat y Adobe Reader. La compañía inmediatamente liberó una actualización del producto para parchar la vulnerabilidad.

El reciente crecimiento de vulnerabilidades no es un indicativo de la carencia de seguridad en la plataforma del software de Adobe, sino por el contrario es el resultado inevitable del desarrollo de una amplia lista de software, dijo Schaffel.

"No pienso que ésto se deba ver como una cierta clase de tendencia interna", añadió. "Cuando se considera el amplio número de productos y la enorme cantidad de código [que nosotros desarrollamos], algo como ésto suele pasar".