1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2811/03/2009=29_Adobe_parchea_a_medias_su_vu

    From noticias@hispasec.com@2:341/201.99 to All on Fri Mar 13 08:40:00 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 11/03/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    Adobe parchea a medias su vulnerabilidad casi un mes después, mientras
    Foxit Reader lo soluciona en 10 días
    ----------------------------------------------------------------------

    La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba
    siendo aprovechado activamente por atacantes, se convierte en un grave
    0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por
    un problema muy parecido, necesitó solo 10 días para solucionar el
    fallo.

    Es más que probable que el fallo fuese conocido incluso desde hace
    bastante más tiempo, y que Adobe tuviese constancia de su existencia.
    Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo
    público. El día 23, para complicar el asunto, aparece un exploit público
    para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe. Este ejemplo
    daba muchas pistas a los atacantes sobre cómo crear un exploit que
    permitiese la ejecución de código.

    El día 26 de febrero, SourceFire (dueños del IDS snort) publica un
    parche rápido para mitigar el problema. El día 27, Secunia avisa a Foxit Reader, otro popular lector de PDF, de que también es vulnerable a este problema. 10 días después Foxit publica una actualización y lo
    soluciona. Adobe ha necesitado más de 20 días para publicar un parche
    para sólo algunas de sus versiones. Y contando desde que lo reconociera,
    que no significa que no estuviese al tanto desde bastante antes.

    Adobe lo soluciona un día antes del prometido, pero solo a medias.
    Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para
    otros sistemas operativos.

    Para colmo, recientemente se ha descubierto una nueva forma mucho más
    sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que
    permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una
    carpeta que contenga un documento PDF especialmente manipulado (y
    basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3791/comentar

    Más información:

    Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and
    Acrobat
    http://www.adobe.com/support/security/advisories/apsa09-01.html

    Foxit Security Bulletins
    http://www.foxitsoftware.com/pdf/reader/security.htm

    26/02/2009 Adobe al más puro estilo Microsoft: parche no oficial para
    Acrobat Reader
    http://www.hispasec.com/unaaldia/3778

    Quickpost: /JBIG2Decode ?Look Mommy, No Hands!? http://blog.didierstevens.com/2009/03/09/quickpost-jbig2decode-look-mommy-no-hands/


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    11/03/2008: Ejecución de código a través de un ActiveX de RealPlayer
    http://www.hispasec.com/unaaldia/3426

    11/03/2007: Nueva Versión del Cuaderno de Prácticas de Seguridad Informática y Criptografía
    http://www.hispasec.com/unaaldia/3060

    11/03/2006: Teoría y práctica en la seguridad de las contraseñas
    http://www.hispasec.com/unaaldia/2695

    11/03/2005: Vulnerabilidad de formato de cadenas en Xpand Rally 1.x
    http://www.hispasec.com/unaaldia/2330

    11/03/2004: Publicado Service Pack 3 para Office XP
    http://www.hispasec.com/unaaldia/1964

    11/03/2003: Desbordamiento de búfer .MHT en Internet Explorer
    http://www.hispasec.com/unaaldia/1598

    11/03/2002: Bug en el código de canal de OpenSSH
    http://www.hispasec.com/unaaldia/1233

    11/03/2001: Desbordamiento de búfer en Netscape Directory Server
    http://www.hispasec.com/unaaldia/868

    11/03/2000: Ficheros automatizados con datos sobre Salud
    http://www.hispasec.com/unaaldia/501

    11/03/1999: Privilegios no autorizados en Windows NT
    http://www.hispasec.com/unaaldia/135


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)