Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/02/2015
Vulnerabilitat en Adobe Reader publicada per Project Zero
El grup Project Zero de Google torna a publicar una nova vulnerabilitat després de superar-se els 90 dies de termini d’espera màxim. Esta vegada l’afectat és Adobe Reader.Llegim en una-al-dia d'Hispasec que Project Zero, el grup de treball de Google dedicat a la busca d’errors de seguretat, ha publicat una nova vulnerabilitat, després d’expirar el termini de 90 dies que donen als fabricants, a pesar que la fallada no està encara completament solucionada.
El problema, detectat el passat 30 d’octubre per Mateusz Jurczyk, residix en la llibreria CoolType.dll i es tracta d’un desbordament de memòria intermèdia (buffer) basat en monticle (heap) que causa el tancament de l’aplicació i podria permetre execució de codi, simplement al visualitzar un fitxer PDF especialment dissenyat.
Sistemes Afectats:Adobe Reader X (10.1.12) i Adobe Reader XI (11.0.09) per a Windows
Adobe Reader X i XI qualsevol versió per a Mac
Referències:CVE-2014-9160
Solució:Les versions de Windows d’Adobe Reader ja van ser apedaçades en una actualització anterior.
En canvi, encara no s’ha publicat cap pedaç per a la versió de Mac, per la qual cosa els usuaris han d’extremar la precaució i tindre molt atenció amb els documents que descarreguen d’Internet.
Notes:Hispasec una-al-dia
Google Security Research - Issue #144