• Tweet

Adobe dijo que revisaría una vulnerabilidad critica en Reader PDF el jueves. Hace dos semanas, Adobe había prometido arreglar la falla en la semana del 16 de agosto con una emergencia, o al menos liberar una actualización de seguridad, pero no había previsto una fecha específica.

El martes, Computerworld vaticinó el 17 de agosto como fecha probable del lanzamiento basados en la anterior expedición de actualziaciones de seguridad de Adobe.

El hueco de seguridad de Adobe fue divulgado por el investigador Charlie Miller el mes pasado durante la conferencia sobre seguridad de Black Hat, en la que demostró cómo el paquete de herramientas de código abierto BitBlaze podría utilizarse para aumentar la productividad de boost bug-hunting.

Miller, analista de Evaluadores Independientes de Seguridad con sede en Baltimore, es célebre por encontrar vulnerabilidades en el popular visor de PDF de Adobe Reader. En marzo pasado, Miller demostró cómo una herramienta simple de fuzzing podría acabar con decenas de errores potenciales en Reader PDF y otros softwares.

Miller dijo que la vulnerabilidad está en Reader y en el análisis de fuentes de Acrobat, pero no está conectado con la fuente de análisis de PDF, defecto explotado por los hackers para el "jailbreak " en IOS 4 de Apple a principios de este mes. Apple actualizó la vulnerabilidad de la fuente el miércoles pasado.

El martes, Miller dijo que Adobe conocía el origen de la falla en Acrobat Reader antes de que lo revelara en Black Hat.

"Aparentemente @taviso informó previo al dia cero de Adobe Reader en BH", escribió Miller en Twitter. "Haha, arruinó su esfuerzo de tratar de ser responsable"

La referencia de Miller a "@taviso" era Tavis Ormandy, ingeniero de seguridad de Google quien provocó un debate este verano cuando dio a conocer una falla crítica de Windows apenas unos días después de informarle a Microsoft.

Ese debate, provocó que Google y Microsoft realizarán propuesta de cambios de cómo los investigadores de vulnerabilidad reportan los virus y cómo reaccionan los comerciantes a los informes, centrada sobre "la revelación completa" y "una fuente responsable", dos filosofías competentes en informes de vulnerabilidades.

Miller dijo en respuesta a una pregunta que Adobe le dijo a Ormandy haber informado de la vulnerabilidad antes del Black Hat.

Adobe mencionó que en la actualización del jueves se incluyen correcciones de vulnerabilidades descubiertas. La compañía programa regularmente actualizaciones trimestrales para Reader y Acrobat, las cuales se liberarán el 12 de octubre.

En el pasado, Adobe retrasó sus actualizaciones trimestrales y parches de emergencia.

Adobe publicará de un momento a otro en su sitio web, una actualización en el boletín de seguridad que incluirá enlaces a la versión actualizada de Reader y Acrobat.