Adobe ha liberado actualizaciones para Adobe Reader y la familia de productos de Adobe Acrobat. La actualización soluciona una vulnerabilidad en el manejo de URI en sistemas Microsoft Windows XP y Server 2003 con Internet Explorer 7.
Los sistemas Microsoft Windows XP y Windows Server 2003 con Internet Explorer 7 y cualquiera de los siguientes productos de Adobe:
Las instalaciones de Microsoft Internet Explorer (IE) 7 en Windows XP o Server 2003 cambia la forma en que Windows maneja los llamados URIs (Uniform Resource Identifiers). Este cambio ha introducido una falla que puede causar que Windows determine incorrectamente el manejador apropiado para el protocolo especificado en un URI. Creando un URI de forma específica en un documento PDF, un intruso puede ejecutar comandos arbitrarios en un sistema vulnerable. Más información sobre esta vulnerabilidad en la Nota de Vulnerabilidad del US-CERT VU#403150.
Reportes públicos indican que esta vulnerabilidad está siendo explotada activamente con archivos PDF maliciosos. Adobe ha liberado Adobe Reader 8.1.1 y Adobe Acrobat 8.1.1, los cuales mitigan esta vulnerabilidad.
Convenciendo a un usuario de que abra un archivo PDF creado de forma específica, un atacante remoto no autenticado podría ser capaz de ejecutar comandos de su elección.
Aplicar una actualización
Adobe ha liberado Adobe Reader 8.1.1 y Adobe Acrobat 8.1.1 para solucionar este problema. Estos productos de Adobe manejan URIs en una forma que mitiga la vulnerabilidad en Microsoft Windows.
Deshabilitar el URI mailto: en Adobe Reader y Adobe Acrobat
Si es incapaz de instalar y actualizar la versión del software, esta vulnerabilidad puede ser mitigada deshabilitando el manejador del URI mailto: en Adobe Reader and Adobe Acrobat. Consulte el Boletín de Seguridad de Acrobat APSB07-18 para más detalles.
Adobe
Para mayor información sobre la actualización de los productos Adobe afectados, consulte el Boletín de Seguridad de Adobe APSB07-18.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT