Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2015
Vulnerabilidad en Adobe Reader publicada por Project Zero
El grupo Project Zero de Google vuelve a publicar una nueva vulnerabilidad tras superarse los 90 días de plazo de espera máximo. Esta vez el afectado es Adobe Reader.Leemos en una-al-dia de Hispasec que Project Zero, el grupo de trabajo de Google dedicado a la búsqueda de fallos de seguridad, ha publicado una nueva vulnerabilidad, tras expirar el plazo de 90 días que dan a los fabricantes, a pesar de que el fallo no está aún completamente solucionado.
El problema, detectado el pasado 30 de octubre por Mateusz Jurczyk, reside en la librería CoolType.dll y se trata de un desbordamiento de buffer basado en heap que causa el cierre de la aplicación y podría permitir ejecución de código, simplemente al visualizar un fichero PDF especialmente diseñado.
Sistemas Afectados:Adobe Reader X (10.1.12) y Adobe Reader XI (11.0.09) para Windows
Adobe Reader X y XI cualquier versión para Mac
Referencias:CVE-2014-9160
Solución:Las versiones de Windows de Adobe Reader ya fueron parcheadas en una actualización anterior.
En cambio, todavía no se ha publicado parche para la versión de Mac, por lo que los usuarios deben extremar la precaución y tener mucho cuidado con los documentos que descarguen de Internet.
Notas:Hispasec una-al-dia
Google Security Research - Issue #144