| Noticias | 23 OCT 2007

Adobe parchea sus vulnerabilidades críticas de PDF

Tags: Seguridad
La compañía lanza las deseadas soluciones a los problemas de seguridad que presentaban sus programas Reader y Acrobat, e insta a su actualización para evitar la ejecución de código malicioso a través de la utilización de ficheros PDF.
Alfonso Casas

Como ya anunciábamos días atrás desde este mismo servicio de noticias, se detectaron ciertas vulnerabilidades dentro de las versiones de los programas más utilizados de Adobe, que podían permitir que códigos maliciosos accedieran a los equipos sin consentimiento de los usuarios. Días después, la compañía ha puesto fin a estos problemas publicando los parches que lo solucionan y que se han incluido  en las actualizaciones de Reader y Acrobat, en versiones que han sido identificadas como 8.1.1 para ambas.

Las vulnerabilidades críticas fueron identificadas en Adobe Reader y Acrobat, las cuales permitían a los atacantes que lo conocieran, explotar dicho fallo para tomar por completo el control del sistema. Únicamente los usuarios de Windows XP que tenían Internet Explorer 7 instalado corrían el riesgo de ser atacados, añadía Adobe.

Los parches han tardado algo más de dos semanas desde que Adobe reconociera el error, y enseguida publicaron que se trataba de un trabajo complicado para el que requería de la ayuda de los usuarios, con el fin de editar el registro de Windows.

Adobe es el último desarrollador de aplicaciones que ha anunciado que parchea su software para hacer frente a una vulnerabilidad de Windows que Microsoft aún tiene por resolver. El pasado día 10 de octubre, el equipo de seguridad de Microsoft admitió que tanto Windows XP como Windows Server 2003 presentaban un error de validación en la entrada de datos cuando se envían ciertos URIs (Uniform Resource Identifier) a protocolos registrados, como puede ser “mailto”, “news”, “telnet” o “http”. En base a esto, diversas aplicaciones pueden ser utilizadas como vectores de ataque, permitiendo que un atacante remoto pueda ejecutar comandos en el equipo del usuario. Es algo que explica lo sucedido con las aplicaciones de Adobe.

Desde Microsoft destacan que “terceras partes de desarrolladores deben asumir también parte de su responsabilidad”. “Mientras nuestras actualizaciones protejan todas las aplicaciones de URIs malformadas, el resto de fabricantes que manipulen dichas URIs deberán hacer validaciones más estrictas, con el fin de evitar que las erróneas permitan el acceso al ShellExecute”, comenta Jonathan Ness, director de programación el centro de respuesta de seguridad de Microsoft.

El ShellExecute es la función de la API que permite la ejecución de programas.

Entre los fabricantes de software que recientemente han actualizado sus versiones para que el error URI no sea explotado a través de sus propias aplicaciones se encuentran Mozilla y Skype, quienes parchearon su navegador Firefox y el software de VoIP Skype respectivamente el pasado mes de julio.

La vulnerabilidad PDF fue divulgada a principios del pasado mes por el investigador Petko Petkov, quién comentó que los atacantes podían comprometer un ordenador simplemente por el hecho de que el usuario abriera un documento PDF o visualizara una página web que incluyera contenido PDF embebido.

Los enlaces a las actualizaciones de Adobe Reader 8.1.1 y Acrobat 8.1.1 están ya disponibles en su boletín de seguridad.



Nota: Un URI (Identificador Universal de Recursos) es una secuencia de caracteres utilizada para identificar una ubicación, recurso o protocolo accesible en una red. Está compuesta por el identificador como método de acceso o protocolo, lo que puede ser “http”, “ftp”, “mailto”, y del nombre del recurso o dominio.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información