• Tweet

La compañía de investigación de seguridad francesa VUPEN confirmó que una vulnerabilidad en Adobe Reader y Acrobat reportada el día de hoy como un Día Cero, puede ser explotada para ejecutar código arbitrario.

De acuerdo al famoso proveedor en inteligencia de vulnerabilidad, la falla es causada por un error de corrupción de la pila en el plugin EScript.api, el cual puede ocurrir cuando se procesa una función llamada printSeps().

VUPEN escribe en un aviso que la vulnerabilidad "podría ser explotada por los atacantes para bloquear una aplicación afectada o comprometer potencialmente un sistema vulnerable engañando a un usuario para abrir un archivo PDF diseñado especialmente para ello".

El error afecta a Adobe Reader y Acrobat 9.4 y la explotación exitosa fue confirmada tanto en Windows 7 y Windows XP SP3.

Una prueba de concepto exploit en PDF enfocada a esta falla fue enviada a la lista de correo Full Disclosure por un reportero anónimo, con el comentario "un misterio dentro de un enigma".

Sin embargo, parece que la vulnerabilidad ha sido conocida en algunos círculos desde hace casi un año. Detalles al respecto fueron publicados en un blog ruso llamado “[Security Solutions] Research Lab”, en noviembre del 2009.

La entrada del blog describe la condición de denegación de servicio, pero no menciona la ejecución de código arbitrario. Se refiere a printSeps() como un "método no documentado".

Esta noticia no podría llegar en peor momento para Adobe, quien ya se ocupa de una explotación activa de Día Cero de Flash Player.

La vulnerabilidad fue descubierta la semana pasada y también afecta al intérprete de Flash en Adobe Reader y Acrobat. De hecho, el único ataque de explotación fuerte hasta ahora, ha utilizado contenido SWF malicioso incrustado en documentos PDF.

La compañía tenía previsto liberar actualizaciones de seguridad para los dos productos durante la semana del 15 de noviembre, sin embargo, este desarrollo inesperado podría interferir con la programación del parche.

El Equipo de Respuesta a Incidentes de Seguridad de Productos de Adobe (PSIRT, sus siglas en inglés) no ha realizado comentario sobre la nueva vulnerabilidad, pero dada la confirmación en VUPEN, un aviso oficial es inminente.