Vulnerabilidad crítica en Adobe Reader

Core Security Technologies emitió una advertencia de seguridad divulgando una vulnerabilidad que podría afectar a millones de individuos y negocios que utilizan el software de Adobe para visualización y edición de archivos con formato PDF.

Investigadores de CoreLabs, el grupo de investigación de la compañía, determinaron que Adobe Reader podría ser explotado para obtener acceso a sistemas vulnerables utilizando un archivo de PDF especialmente preparado con contenido JavaScript malicioso.

Realizado el descubrimiento, CoreLabs alertó inmediatamente a Adobe acerca de la vulnerabilidad y desde entonces, ambas compañías han coordinado esfuerzos para crear un parche y hacerlo disponible para proteger a los usuarios del programa.

“Como sucede con la gran mayoría de las aplicaciones que usan los usuarios finales en máquinas de escritorio, la gran cantidad y complejidad de código de Adobe Reader creó una amplia superficie con potenciales vulnerabilidades y, en este caso, la inclusión de un motor JavaScript completo introdujo los mismos tipos de fallas de implementación encontrados comúnmente en otros programas sofisticados para usuarios finales”, explicó Ivan Arce, CTO de Core Security.

“Vale mencionar -agregó Arce- que el bug fue descubierto mientras investigábamos un problema similar previamente revelado en otra aplicación para visualizar archivos PDF, los que resalta que hay errores básicos de implementación que pueden ser comunes a diversos fabricantes. Creo que la industria de software de Argentina debería tomar nota de esta problemática para evitar repetirla”.

Podría decirse que Adobe Reader es la aplicación más difundida del mundo para compartir documentos electrónicos. El software puede ser utilizado para ver, buscar, firmar digitalmente, verificar, imprimir y colaborar en archivos de Adobe PDF, e incluye funcionalidad de scripting  para permitir una amplia gama de extensiones y adaptaciones por los usuarios finales.

Para poder explotar la vulnerabilidad es necesario que algún usuario abra un archivo de PDF especialmente preparado a tal fin, lo que le permitiría a un potencial atacante  obtener acceso a sistemas vulnerables con  los privilegios del usuario corriendo Adobe Reader. La versión 9 de Adobe Reader, lanzada en Junio de este año no es vulnerable a este problema.

Adobe lanzó una actualización de seguridad para solucionar la versión 8.1.2 de Reader. Como alternativa, los usuarios de versiones afectadas pueden deshabilitar la función JavaScript en el menú Edición/Preferencias del software.

Detalles de la vulnerabilidad

Mientras se investigaba la viabilidad de explotar una vulnerabilidad previamente revelada en Foxit Reader (CVE-2008-1104), un investigador de CoreLabs descubrió que Adobe Reader tenía la misma falla de seguridad.

La vulnerabilidad fue descubierta por Damián Frizza, investigador de CoreLabs y desarrollador de software del equipo de Exploit Writers de CORE IMPACT. La  vulnerabilidad revelada previamente que motivó esta investigación (CVE-2008-1104) fue descubierta en Foxit Reader por Dyon Balding, de Secunia Research, y publicada el 20 de mayo de 2008.

Para mayor información acerca de esta falla ver la advertencia de seguridad CORE-2008-0526.