• Tweet

Adobe System Inc. ha advertido de dos serias fallas de seguridad que afectan las versiones de su software Acrobar para sistemas Windows, Mac OS X y Unix. Los bugs podrían permitir a un intruso ejecutar código malicioso en el sistema del usuario mediante la distribución de un archivo PDF a través de un correo electrónico, de acuerdo con los investigadores de seguridad.

La primera falla afecta la versión 6.0.2 de Acrobat Reader, de acuerdo con un boletín liberado en la lista de correo Bugtraq por la firma de investigación de seguridad iDefense, la cual descubrió ambos bugs. Reader analiza de forma incorrecta los archivos .etd utilizados en transacciones eBook por lo que un archivo .etd conteniendo código especial en los campos "title" o "baseurl" puede causar un acceso a memoria inválido.

Esto podría permitir la ejecución de código malicioso con los privilegios del usuario, de acuerdo con iDefense. Un intruso podría explotar este bug enviando un mensaje de correo electrónico incluyendo un archivo adjunto en formato PDF o un hipervínculo al archivo.

Las versiones anteriores de Acrobat Reader podrían ser afectadas, de acuerdo con iDefense. Adobe ha liberado la versión 6.0.3 de Acrobat y Reader para las plataforma Windows y Mac OS X, la cual soluciona el problema.

iDefense dijo a los usuarios que pueden protegerse eliminando el archivo "C:Program FilesAdobeAcrobat 6.0Readerplug_inseBook.api". Esto no afecta el manejo de archivos PDF, pero no permitirá a Acrobat o Reader manejar eBooks.

La otra falla tiene efectos similares en Reader versión 5.0.9 para Unix, de acuerdo con iDefense. Esta falla se encuntra en la función de correo electrónico de Reader,  mailListIsPdf, y puede ser explotada en la misma forma que el bug en eBook. Adobe dejo claro que no tenia conocimiento de intentos por explotar esta falla, pero recomendo a los usuarios actualizar a la nueva versión liberada de Acrobat Reader 5.0.10, como una precaución.

iDefensa añadió que las versiones previas de Reader 5 para Unix son probablemente vulnerables. La compañía dijo que los usuarios de Unix pueden obtener protección adicional a través de una actualización no oficial para el acroread shell script, el cual agrega una verificación asegurando que los archivos pasados a acroread son documentos PDF. La actualización no protege contra archivos abiertos manualmente desde dentro de Reader, dijo iDefense.

Secunia, un firma investigadora de seguridad independiente que mantiene una base de datos de vulnerabilidades, clasificó la falla en Unix como "altamente crítica". Ambos bugs fueron descubiertos a mediados de octubre, dijo iDefense.