Sobrescritura de memoria en Acrobat y Acrobat ReaderPDF.OCX, un control ActiveX utilizado por Adobe Acrobat y Acrobat Reader, es propenso a una vulnerabilidad del tipo desbordamiento de búfer que afecta el HEAP (porción de memoria disponible para un programa, también llamada área de memoria dinámica). El problema ocurre por un insuficiente control de límites en los datos brindados por un URI durante una solicitud (carga de documento PDF desde el navegador).
Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).
Cuando un usuario hace clic sobre un URI malicioso, el contenido del mismo es copiado dentro de la memoria HEAP del software afectado, sin que se controlen sus límites. El resultado es que trozos de la memoria usada por el programa pueden ser sobrescritos por los datos enviados por el atacante.
Últimamente, esta vulnerabilidad puede ser explotada por un atacante remoto para ejecutar código arbitrario en el contexto de seguridad del usuario que ejecuta el software vulnerable.
Los servidores Microsoft IIS y Netscape Enterprise, utilizan un cero (byte NULL) como indicador de finalización de un URI, y podrían ser utilizados para lanzar un ataque.
Son vulnerables las siguientes versiones:
- Adobe Acrobat 5.0
- Adobe Acrobat 5.0.5
- Adobe Acrobat 6.0
- Adobe Acrobat 6.0.1
- Adobe Acrobat Reader 5.0
- Adobe Acrobat Reader 5.0.5
- Adobe Acrobat Reader 5.1
- Adobe Acrobat Reader 6.0
- Adobe Acrobat Reader 6.0.1
No son vulnerables las siguientes versiones:
- Adobe Acrobat 6.0.2
- Adobe Acrobat Reader 6.0.2
Hasta el momento de publicar este artículo, no ha sido reportado ningún ataque. Tampoco se conocen exploits disponibles para provocar el mismo.
Adobe ha realizado una actualización de Adobe Reader 6.0.2 para este problema. La actualización está disponible para Windows, y requiere que esté instalado Adobe Reader 6.0.1.
Cómo medida de precaución, se sugiere modificar la configuración de Adobe Acrobat y Acrobat Reader, para prevenir que los archivos PDF se abran automáticamente cuando se hace clic sobre un enlace a ellos en el navegador.
1. Abrir el Acrobat u Acrobat Reader
2. Seleccionar el menú Edición, Preferencias
3. En Opciones, desmarcar "Mostrar PDF en Explorador"
4. Clic en Aceptar
Descarga:
Adobe Acrobat Reader 6.0.1:
Adobe Patch Acro-Reader_6.0.2_Update.exe
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=2589&fileID=2433Créditos:
Rafel Ivgi
Referencias:
Adobe Acrobat/Acrobat Reader
ActiveX Control Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=126&type=vulnerabilities&flashstatus=true
Adobe
http://www.adobe.com/Publicado en :
http://www.vsantivirus.com/vul-acrobat-pdfocx-271104.htm
