1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2826/02/2009=29_Adobe_al_m=E1s_puro_estilo_M

    From noticias@hispasec.com@2:341/201.99 to All on Thu Feb 26 21:45:00 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 26/02/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader
    -------------------------------------------------------------------------

    Puesto que Adobe decidió "esperar" varias semanas para solucionar un
    grave problema de seguridad, ya ha aparecido un parche no oficial
    programado por un tercero. Esta era una parcela que hasta ahora se creía reservada para el sistema operativo Windows. Adobe Reader está cada vez
    más en el punto de mira de la industria del malware, como buen vehículo
    para instalar troyanos en el sistema sin que el usuario lo perciba. Ha protagonizado una nueva ola de ataques y Adobe sigue sin responder correctamente, sin experiencia en ser el centro de atención. ¿Sabrá
    esquivar los golpes que pueden llegarle en los próximos años?

    Symantec y Shadowserver dieron la voz de alarma a mediados de febrero:
    una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para
    instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e
    incluso más tarde para las ramas más veteranas del producto. No publica
    más información, ni contramedidas, ni consejos, ni alcance... nada.

    Se creía que se trataba de un ataque dirigido, minoritario, hasta que
    un par de días después, se hace público un exploit capaz de aprovechar
    el fallo. Ahora, más que nunca, es de dominio público y Adobe deja desprotegidos a sus usuarios ante una amenaza más que palpable.
    SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto.
    Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión
    de tiempo que apareciera un exploit. SourceFire se justifica diciendo:
    "la vulnerabilidad está siendo aprovechada desde principios de enero. Preferimos que la gente esté protegida".

    Mientras, SourceFire publica un parche no oficial para solucionar el
    problema. Tal y como ha ocurrido en otras ocasiones con Microsoft, investigadores privados se adelantan y son capaces de mitigar el
    problema en cuestión de días. Bien es cierto que estos parches no tienen
    ningún tipo de garantía, y que no han superado las pruebas de calidad y compatibilidad a las que los suelen someter las empresas oficiales.
    Hasta ahora, los parches no oficiales habían sido, casi en exclusiva,
    algo de Windows y Microsoft, cuando se le acusaba de no solucionar a
    tiempo graves problemas de seguridad.

    Brian Krebs preguntó al director de seguridad de Adobe por qué no habían incluido información en su alerta para mitigar el problema, como por
    ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que deshabilitar JavaScript no atacaba la raíz del problema. Poco después
    la alerta oficial fue actualizada para incluir la recomendación. Adobe
    además, ha publicado esta semana un parche para Flash Player que
    soluciona un grave problema de ejecución de código.

    Adobe se ha visto envuelta en un episodio del que normalmente no es protagonista, un incidente al que nos tenía (y a veces, nos tiene) más acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido incontables reveses al respecto. No es la primera vez que Adobe no
    reacciona convenientemente antes un grave fallo de seguridad. Aunque es
    un software tremendamente popular, parece no tener experiencia a la hora
    de ofrecer unos boletines de seguridad completos, fiables, puntuales y
    con información útil sobre las vulnerabilidades. Esa información es muy necesaria para que un administrador de una gran empresa que gestione
    cientos de máquinas pueda lidiar con el problema hasta que se publique
    una solución.

    Microsoft, con más de 15 años siendo el centro de atención del malware,
    ha superado a marchas forzadas ciertos aspectos, ofreciendo normalmente información detallada sobre las vulnerabilidades, contramedidas más o
    menos eficaces, etc. Dispone de un equipo de respuesta a incidentes que
    aunque no es perfecto, cumple holgadamente su función. Una de las
    máximas de muchas compañías es no invertir en soluciones para problemas
    que no existen. Cuando el problema se presenta de repente (aunque no es
    el caso, venimos anunciando que Adobe es carne de malware desde hace
    tiempo), entonces las reacciones no son las deseadas.

    En el hipotético caso de que Microsoft pierda protagonismo y otros
    programas se conviertan en menor medida en centro de atención del
    malware, cuando los atacantes fragmenten y diversifiquen sus
    objetivos... ¿estarán preparados para encajar este golpe el resto
    de "candidatos"?

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3778/comentar

    Más información:

    Homebrew patch for Adobe AcroReader 9 http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

    20/02/2009 Adobe solucionará dentro de tres semanas una vulnerabilidad
    en Acrobat (Reader) que está siendo ya aprovechada por atacantes http://www.hispasec.com/unaaldia/3772/adobe-solucionara-dentro-tres-semanas-una-vulnerabilidad

    25/02/2009 Actualización por vulnerabilidades de ejecución de código en
    Adobe Flash Player http://www.hispasec.com/unaaldia/3777/actualizacion-por-vulnerabilidades-ejecucion-codigo

    Adobe Urges Stopgap Changes To Blunt Cyber Threat http://voices.washingtonpost.com/securityfix/2009/02/adobe_urges_stopgap_changes_to.html


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    26/02/2008: Actualización del kernel 2.6.x para Debian Linux 3.x
    http://www.hispasec.com/unaaldia/3412

    26/02/2007: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas
    http://www.hispasec.com/unaaldia/3047

    26/02/2006: Ejecución de código javascript en Thunderbird
    http://www.hispasec.com/unaaldia/2682

    26/02/2005: Nuevo Firefox 1.0.1 corrige 17 vulnerabilidades
    http://www.hispasec.com/unaaldia/2317

    26/02/2004: Acceso no autorizado y denegación de servicio en dispositivos ONS de Cisco
    http://www.hispasec.com/unaaldia/1950

    26/02/2003: La seguridad de las tarjetas de crédito en entredicho
    http://www.hispasec.com/unaaldia/1585

    26/02/2002: Más de 3 vulnerabilidades diarias
    http://www.hispasec.com/unaaldia/1220

    26/02/2001: Vulnerabilidad en el Visor de Eventos de Windows 2000
    http://www.hispasec.com/unaaldia/855

    26/02/2000: Resumen de Bugtraq del 13-02-2000 al 21-02-2000
    http://www.hispasec.com/unaaldia/487

    26/02/1999: El Pentium III al descubierto
    http://www.hispasec.com/unaaldia/122


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)