• Tweet

Investigador dice que Adobe en realidad hizo la vulnerabilidad más visible para los piratas informáticos emitiendo una solución fuera de la programación regular de la actualización de seguridad.

Como se esperaba, Adobe liberó el martes una actualización de emergencia que repara un par de vulnerabilidades críticas en su popular software de visualización y edición de archivos PDF. Adobe clasificó ambos errores como críticos.

El pasado jueves, Adobe anunció que emitiría un parche de emergencia para Adobe Reader y Adobe Acrobat el 16 de febrero; se cumplió la promesa hoy haciendo frente a dos fallas. Una de ellas era idéntica a la vulnerabilidad de solicitud "cross-domain" de la semana pasada en Flash Player, mientras que la segunda era una vulnerabilidad que los atacantes podrían aprovechar instalando malware en una máquina específica.

El error relacionado con Flash Player, etiquetado como CVE-2010-0186 en la base de datos "Common Vulnerabilities and Exposures (CVE)", no puede ser utilizado para inyectar código malicioso en un sistema, pero podría ser aprovechado por los ladrones de información en un ataque estilo "cross-site scripting", dijo Andrew Storms, director de operaciones de seguridad en nCircle Network Security.

Entre el jueves, cuando Adobe actualizó Flash Player, y hoy, cuando se parchó el mismo defecto en Reader y Acrobat, los programas de este último fueron teóricamente vulnerables a un ataque si un hacker ambicioso revisara el parche para Flash y logró averiguar dónde estaba la vulnerabilidad en Reader. Eso no sucedió, señaló Storms.

Fue la segunda vulnerabilidad, etiquetada como CVE-2010-0188, la que atrajo su atención. "Adobe la atribuyó a Microsoft", dijo Storms, "que en sí mismo es interesante." El error fue reportado por el Programa de Microsoft para la investigación de vulnerabilidades (MSVR por sus siglas en inglés), donde los investigadores de seguridad de Microsoft presentan defectos que encuentran en el software de terceros, tales como complementos del navegador como Reader.

Microsoft podría haber encontrado la vulnerabilidad a través de su propio proceso de seguridad, o puede haber sido denunciado por un cliente de Microsoft para la empresa, que luego transfirió a Adobe. Este último se negó a decir cuál fue el caso, pero dijo que no tenía conocimiento de cualquier exploit "in-the-wild" de cualquiera de las vulnerabilidades parchadas el martes.

Lo que intrigó más a Storms fue que la actualización de hoy estaba fuera de la programación regular de lanzamientos trimestrales de seguridad que Adobe establece para su software de PDF. "Ahora sabemos que hay una vulnerabilidad en Reader y Acrobat, pero ya que Adobe ha hecho una excepción, ésto va a llamar la atención de los investigadores. La carrera está en desmontar el parche y crear un exploit utilizando ingeniería inversa".

"Como de costumbre, el boletín contiene información mínima", dijo Storms, que ha criticado los procedimientos de seguridad de Adobe en el pasado.

"Nosotros no estamos familiarizados con el árbol de decisiones internas de lo que hace y lo que no hace un parche fuera del calendario normal. Esa opacidad atrae más atención que si fueran transparentes", dijo.