Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/08/2012
L’últim butlletí d’Acrobat i Reader deixa almenys 16 errors sense resoldre
Després de la publicació de l’últim butlletí d’Adobe per a Reader i Acrobat (APSB12-16), els investigadors Mateusz Jurczyk i Gynvael Coldwind del Google Security Team han publicat la seua anàlisi en la qual conclouen que Adobe, a part de deixar desprotegits els usuaris de Linux (al no haver-se publicat encara cap versió corregida) no ha resolt totes les vulnerabilitats reportades per estos mateixos.
El grup es va encarregar del projecte de Fuzzing del lector de PDF integrat en Google Chrome. Van detectar més de 50 problemes. Els més crítics han sigut ja corregits en el lector del navegador. Atés l’èxit de l’operació, van decidir realitzar les mateixes proves contra el lector d’Adobe.
Van concloure les proves amb 60 errors. 31 problemes podien ser trivialment explotables i 9 potencialment explotables. En juny es van posar en contacte amb l’equip de seguretat d’Adobe, que es van mostrar molt col·laboradors des del començament. Però en l’últim butlletí publicat per Adobe (APSB12-16, del qual ja hem parlat en el nostre portal) només es corregixen al voltant de 25 d’estos errors en els 12 CVE.
Així, els investigadors conclouen que hi ha uns 16 problemes no corregits encara, que podrien representar aproximadament unes 8 vulnerabilitats greus (ja que 25 problemes van donar origen a 12 CVEs). Cal tindre en compte que els problemes detectats per fuzzing poden tindre origen en una mateixa vulnerabilitat, i ser corregits amb una mateixa modificació del codi.
Adobe afirma que ho solucionarà en un futur. El 27 d’agost es complix el termini de 60 dies que els investigadors van imposar com a condició per a donar detalls, però, ja que Adobe no té intenció de publicar un butlletí fora de cicle, sembla que es complirà el termini sense que hi haja pedaços. Així que han decidit, ja, posar a la disposició de tots els seus descobriments, atés el risc a què s’enfronten els usuaris.