Llegamos a ustedes gracias a:



Noticias

Adobe falla en arreglar plenamente un agujero en el PDF

[06/07/2010] Un parche de Adobe, para un error muy publicitado en el software Reader PDF de la compañía, no soluciona la vulnerabilidad, confirmó el investigador de seguridad que descubrió la falla.

El martes pasado, Adobe envió una actualización para Reader y Acrobat, sus populares programas para lectura y creación de archivos PDF, que parchaba 17 vulnerabilidades, incluido un problema de diseño que dio a los atacantes de una manera fácil de llevar a usuarios a ejecutar código malicioso. El error, que fue divulgado por el investigador belga Didier Stevens a finales de marzo, permitió a los hackers aprovechar la función "/ Launch, una característica que ejecuta otro software dentro de un documento PDF.
Stevens también mostró cómo una advertencia de Reader podría ser cambiada para engañar a los usuarios más tontos. Cuando se combina con otro truco, la falla podría ser usada para engañar a los usuarios a lanzar malware disfrazado de software legítimo.
Los hackers han estado utilizando la técnica de Stevens en los ataques en masa para infectar PC con Windows desde mediados de abril.
El domingo, Stevens confirmó que el parche no ha solucionado la falla. El experto explicó el 4 de julio en un post de su blog, que investigó un poco y descubrió que Adobe implementó una lista negra de extensiones para la acción de lanzamiento, pero que la funcionalidad de una lista negra identifica el tipo de archivo cmd.exe como .exe, y no como .exe.
Los atacantes todavía pueden obtener un documento PDF para ejecutar malware simplemente encerrando el nombre del archivo malicioso dentro de comillas simples o dobles, señaló Stevens.
Le Mahn Tung, un investigador de Bach Khoa Internetwork Security (BKIS), que tiene su sede en la Universidad Tecnológica de Hanoi en Vietnam, notó por primera vez que Adobe no había arreglado el error correctamente.
En su blog, Stevens ofrece una solución para desviar los ataques que deja de lado la "lista negra" de Adobe. Su solución, implica la modificación del Registro de Windows, una tarea que la mayoría de usuarios va a evitar.
Adobe ha admitido que su "lista negra" no era infalible, y dijo que estaba investigando las técnicas de bypass de Tung y de Stevens.
"Si bien las capacidades de la lista negra por sí solas no son la solución perfecta para defenderse de aquellos intentos malintencionados, esta opción reduce el riesgo de ataque", señaló Brad Arkin, director de seguridad y privacidad de Adobe, en una entrada en el blog del equipo de seguridad de la compañía. "Vamos a evaluar la solución de Tung para determinar si los cambios adicionales a la lista negra son necesarios".
Adobe arregló la falla del diálogo de advertencia, señaló Stevens, por lo que los hackers no pueden modificarlo para aumentar la posibilidad de que los usuarios caigan en sus tácticas. Arkin, de Adobe, también señaló lo mismo. "El mensaje de advertencia siempre incluye un texto fuerte que aconseja a los usuarios a abrir y ejecutar el archivo sólo si se trata de una fuente confiable", señaló Arkin.
El parche de la semana pasada también modificó el Reader y el Acrobat para que la función /Launch está desactivada por defecto, obligando a los usuarios que quieren la funcionalidad a encenderla manualmente. En ediciones anteriores, /Launch venía activada por defecto.
La actualización Reader y Acrobat para Windows, Mac y Linux se puede descargar usando el enlace incluido en el consejo de seguridad que Adobe publicó la semana pasada. Alternativamente, los usuarios pueden ejecutar los programas integrados en el mecanismo de actualización para seleccionar las nuevas versiones.
Gregg Keizer, Computerworld (US)