Avisos 08 de November, 2012

Vulnerabilitat 0-day a Adobe

Un grup d'investigació de seguretat rus anomenat Group-IB, ha fet pública una possible vulnerabilitat de tipus 0-day relacionada amb el producte Adobe Reader. Aquesta vulnerabilitat estaria considerada de nivell crític, podria permetre el compromís de l'equip des de remot.

 

Impacte
 
Execució de codi arbitrari.
 
Productes afectats
 
Adobe Acrobat Reader versió 10.X i 11.X
  
Nota: Les possibles versions afectades encara no han estat confirmades oficialment pel fabricant.
 
Solució
 
Estar pendents de la possible publicació d'una actualització del fabricant Adobe, els productes d'Adobe amb la seva configuració per defecte, realitzen comprovacions d'actualització de forma automàtica i periòdicament. Si no apareix l'avís de actualització a l'inici, es pot activar manualment seleccionant l’opció "Ajuda -> Cerca actualitzacions" a Adobe Reader i Acrobat.
 
Una vegada estiguin disponibles les actualitzacions, també poden descarregar-se consultant el butlletí d’Adobe, on s'inclouen les adreces de descàrrega directa de cada pegat, i les instruccions d’instal•lació per a cada producte.
 
Als dispositius Android, les actualitzacions es poden obtenir mitjançant Google Play (anteriorment conegut com l'Android Market). Si les notificacions automàtiques estan desactivades, l'actualització es pot executar accedint a Google Play i seleccionant Menú->Les meves aplicacions. Encara no es coneix variant d'explotació de la vulnerabilitat per aquesta plataforma.
 
Fins a la possible actualització del fabricant Adobe, i confirmació oficial de la vulnerabilitat reportada al seu producte Adobe Reader, CESICAT recomana:
 
Desactivar el plugin d'Acrobat Reader del navegador. 
No obrir fitxers de tipus PDF que no estem segurs de la seva procedència i contingut. 
En el cas necessari de tenir que obrir un document de tipus PDF, utilitzar lectors alternatius o utilitzar entorns d'execució segura de tipus Sandbox, o màquina virtual de tipus temporal.
 
Detall
 
La vulnerabilitat reportada permetria l'execució d'una shellcode mitjançant el procés de tancament d'un fitxer de tipus PDF maliciós, sigui des de navegador o l'aplicació Adobe Reader. Llibreria afectada per la vulnerabilitat AcroRd32.dll. Les mesures de seguretat de desactivació d'execució de codi javascript, o la proporcionada per la mateixa sandbox del producte, no son suficients per la seva contenció. Encara per confirmar, la vulnerabilitat estaria inclosa dins de la nova versió de "Blackhole Exploit-Kit", això indica que la seva explotació podria ser massiva.
 
Referències
 
Group-IB US: Zero-day vulnerability found in Adobe X
POC of the zero-flaw found in adobe X
 
Publicat a: Avisos