-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
-------------------------------------------------------------------
Hispasec - una-al-día 12/11/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------
La última vulnerabilidad en Adobe PDF, explotada de forma activa
----------------------------------------------------------------
Desde hace varios días se está observando que una vulnerabilidad
corregida en la última versión de Adobe (tanto su versión Reader como
la que permite editar) está siendo aprovechada de forma activa para
infectar sistemas. Se están creando nuevos ataques tan recientes que,
en cierta forma, están pasando desapercibidos para muchos antivirus.
El pasado día 5 de noviembre Adobe publicó (entre otros boletines de
seguridad para otros productos) una actualización para Adobe y Adobe
Reader 8 que solucionaba varias vulnerabilidades que permitían la
ejecución de código.
Uno de los fallos más graves se daba en la función JavaScript
"util.printf", provocado por un error al procesar cadenas de formato.
Adobe fue advertida del problema en abril de este mismo año. Foxit
Reader, otro popular lector de PDF, también sufría una vulnerabilidad
muy parecida. Foxit lo solucionó un mes después, en abril, mientras que
Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad.
Como era de esperar, esta vulnerabilidad está siendo aprovechada de
forma activa desde hace días para instalar malware en el sistema, si
se abre un archivo PDF especialmente manipulado. Se está observando
una gran cantidad de correo basura o páginas web que contienen estos
ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para
el ultimísimo ataque son detectados (a través de firmas) apenas por un
14% de motores antivirus en Virustotal.com
F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12:
Exploit.PDF.Shellcode.gen (suspicious)
Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D
TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW
Es importante destacar que esto no significa que otros (e incluso esos
mismos) motores antivirus instalados en el escritorio no puedan detectar
el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el
PDF, el malware que suele ser descargado a posteriori, una vez
aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos
permite hacernos una idea de cuántos archivos podrían llegar a pasar un
primer filtro antivirus situado por ejemplo en el perímetro, integrado
en el correo, donde sólo se suelen tener en cuentas las firmas para
filtrar muestras y llegar así al escritorio. Además, es seguro que en
muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas.
Aunque un fallo muy similar fue encontrado en abril, no se anunció
públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no
se han detectado ataques contra este lector. No ha sido hasta que se ha
hecho público que el problema afecta a Adobe, que, aun existiendo
parche, los atacantes se han lanzado a aprovechar la vulnerabilidad.
Se aconseja actualizar el lector lo antes posible. En sistemas en los
que la actualización no sea posible por cualquier razón, se puede
desactivar la interpretación de JavaScript del lector (y eliminar así no
solo este, sino otros muchos problemas futuros) con un cambio en el
registro de Windows. Algunas funcionalidades del lector podrían dejar de
estar operativas. En la rama:
HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs
Añadir la clave:
Nombre: bEnableJS
Tipo: DWORD
Valor: 0
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3672/comentar
Más información:
Security Update available for Adobe Reader 8 and Acrobat 8:
http://www.adobe.com/support/security/bulletins/apsb08-19.html
Adobe Reader Javascript Printf Buffer Overflow:
http://www.coresecurity.com/content/adobe-reader-buffer-overflow
05/11/2008 Nueva versión de Adobe Acrobat/Reader 8 corrige graves vulnerabilidades conocidas desde hace meses
http://www.hispasec.com/unaaldia/3665
Sergio de los Santos
ssantos@hispasec.com
Tal día como hoy:
-----------------
12/11/2007: Acceso a routers vulnerables de uso doméstico
http://www.hispasec.com/unaaldia/3306
12/11/2006: Ejecución de código arbitrario en HP OpenView Client Configuration Manager
http://www.hispasec.com/unaaldia/2941
12/11/2005: Gusano Lupper/Lupii, malware diseñado para sistemas Linux
http://www.hispasec.com/unaaldia/2576
12/11/2004: Actualización de seguridad de Samba 3
http://www.hispasec.com/unaaldia/2211
12/11/2003: Microsoft distribuye los parches de noviembre
http://www.hispasec.com/unaaldia/1844
12/11/2002: Nuevas vulnerabilidades en BIND4 y BIND8
http://www.hispasec.com/unaaldia/1479
12/11/2001: Se autoriza la publicación del código "DeCSS"
http://www.hispasec.com/unaaldia/1114
12/11/2000: Desbordamiento de búfer en el login de Windows NT Terminal Server
http://www.hispasec.com/unaaldia/749
12/11/1999: Chequeo de archivos de forma remota con IE5 y Active-X
http://www.hispasec.com/unaaldia/381
12/11/1998: El mundo criptográfico a la espera de PGP 6.0
http://www.hispasec.com/unaaldia/16
-------------------------------------------------------------------
Claves PGP en
http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:
unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:
unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec
http://www.hispasec.com/copyright
-------------------------------------------------------------------
--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet
telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)