Investigadores de CoreLabs, el grupo de investigación de la compañía, determinaron que Adobe Reader podría ser explotado para obtener acceso a sistemas vulnerables utilizando un archivo de PDF especialmente preparado con contenido JavaScript malicioso. Realizado el descubrimiento, CoreLabs alertó inmediatamente a Adobe acerca de la vulnerabilidad y desde entonces, ambas compañías han coordinado esfuerzos para crear un parche y hacerlo disponible para proteger a los usuarios del programa.
Como sucede con la gran mayoría de las aplicaciones que usan los usuarios finales en máquinas de escritorio, la gran cantidad y complejidad de código de Adobe Reader creó una amplia superficie con potenciales vulnerabilidades y, en este caso, la inclusión de un motor JavaScript completo introdujo los mismos tipos de fallas de implementación encontrados comúnmente en otros programas sofisticados para usuarios finales, explicó Ivan Arce, CTO de Core Security. Vale mencionar que el bug fue descubierto mientras investigábamos un problema similar previamente revelado en otra aplicación para visualizar archivos PDF, los que resalta que hay errores básicos de implementación que pueden ser comunes a diversos fabricantes. Creo que la industria de software de Argentina debería tomar nota de esta problemática para evitar repetirla.
Podría decirse que Adobe Reader es la aplicación más difundida del mundo para compartir documentos electrónicos. El software puede ser utilizado para ver, buscar, firmar digitalmente, verificar, imprimir y colaborar en archivos de Adobe PDF, e incluye funcionalidad de scripting para permitir una amplia gama de extensiones y adaptaciones por los usuarios finales.
Para poder explotar la vulnerabilidad es necesario que algún usuario abra un archivo de PDF especialmente preparado a tal fin, lo que le permitiría a un potencial atacante obtener acceso a sistemas vulnerables con los privilegios del usuario corriendo Adobe Reader. La versión 9 de Adobe Reader, lanzada en Junio de este año no es vulnerable a este problema.
Adobe lanzó una actualización de seguridad para solucionar la versión 8.1.2 de Reader. Como alternativa, los usuarios de versiones afectadas pueden deshabilitar la función JavaScript en el menú Edición/Preferencias del software.
Detalles de la vulnerabilidad
Mientras se investigaba la viabilidad de explotar una vulnerabilidad previamente revelada en Foxit Reader (CVE-2008-1104), un investigador de CoreLabs descubrió que Adobe Reader tenía la misma falla de seguridad.
Luego de una revisión inicial del bug de implementación, se creía que, aunque presente, el problema aparentemente no era explotable en Adobe Reader debido a que el programa usa dos manejadores de excepciones estructuradas (Structured Exception Handlers). Una diferencia básica entre las aplicaciones Adobe y Foxit consiste en la manera en que realizan las verificaciones de seguridad. Por ello, a primera vista la falla no parecía explotable en Adobe dado que no había manera de controlar el primer manejador de excepciones.
Sin embargo, una vez realizado un examen más minucioso del código, se descubrió la existencia de otra vulnerabilidad de desbordamiento de buffer que se manifiesta antes de la llamada al código relacionado con la vulnerabilidad ya conocida.
Un archivo PDF preparado específicamente con código JavaScript para manipular el patrón de asignación de memoria del programa y disparar la vulnerabilidad puede permitirle a un atacante ejecutar cualquier programa de su elección en la computadora del usuario que intente abrirlo usando una versión vulnerable de Adobe Reader.
La vulnerabilidad fue descubierta por Damián Frizza, investigador de CoreLabs y desarrollador de software del equipo de Exploit Writers de CORE IMPACT. La vulnerabilidad revelada previamente que motivó esta investigación (CVE-2008-1104) fue descubierta en Foxit Reader por Dyon Balding, de Secunia Research, y publicada el 20 de mayo de 2008.
📬 Newsletter gratuito
Lo más relevante de tecnología y negocios digitales en español — cada día, en cinco minutos.
