Los fallos que corrige el boletín de seguridad son los siguientes:

CVE-2010-0190: Corrige un error producido en la ejecución de comandos en sitios cruzados (XSS).

CVE-2010-0191: Repara un fallo que afecta al manejador (handler) del protocolo del prefijo.

CVE-2010-0192, CVE-2010-0193 y CVE-2010-0196: Las tres actualizaciones corrigen un fallo de denegación de servicio (DoS).

CVE-2010-0194, CVE-2010-0197, CVE-2010-201y CVE-2010-204: Cada parche repara un error de corrupción de memoria.

CVE-2010-0195: Fallo producido en el manipulación de las fuentes.

CVE-2010-0198, CVE-2010-0199, CVE-2010-0202 y CVE-2010-0203: Corrigen fallos desbordamiento de búfer.

CVE-2010-1241: Error de desbordamiento de montículo (heap overflow).

Los fallos corregidos podrían ocasionar ataques de peticiones de dominio cruzados, la caída de la aplicación afectada o la ejecución remota de código, con lo que el atacante tomaría el control del equipo y ejecutar en él los programas que quiera.

Es recomendable actualizar los programas a esta última versión, la 9.3.2. Para ello, si dispone de Reader se debe acceder a la opción de ‘Ayuda’ y pinchar en ‘Buscar actualizaciones’.

En caso de que se quiera instalar la actualización manualmente, se debe ir a la página de descarga y a través de ella descargar el programa que corresponda al sistema operativo del que se disponga:

Descarga para Windows: Acrobat y Reader

Descarga para Macintosh: Acrobat y Reader

Descarga para Unix: Reader

La publicación de este boletín coincide con la de una nueva funcionalidad de actualización automática de Reader y Acrobat, con la que Adobe buscará automáticamente las actualizaciones disponibles y las instalará en el equipo sin que el usuario tenga realizar ninguna acción. Esta nueva función se puede activar después de actualizar a la versión 9.3.2 accediendo al menú Edición → Preferencias → Actualizador y en esta pestaña se debe marcar la opción ‘Descargar automáticamente las actualizaciones, pero permitir al usuario elegir el momento de su instalación’.

Fuente: Inteco Cert

Los programas de Adobe son víctimas de numerosos ataques. Reader y Acrobat han llegado tener el 80% de todos los ataques a software, en los que los atacantes han aprovechando los archivos PDF que utilizan tantos usuarios. A continuación, les sigue Adobe Flash, que concentra el 18% de todos los exploits.

Durante el pasado año se encontraron frecuentemente fallos en el editor y lector de ficheros PDF de Reader y Acrobat, lo que ha facilitado el trabajo a los atacantes. A comienzos de año Flash y Reader tenían unas cifras de ataques parecidas, pero a medida que fue avanzando el año Reader y sus archivos PDF tomaron la delantera.

Los archivos PDF maliciosos alcanzaron el 56% de todos los exploits durante el primer trimestre de 2009, y fueron aumentando notablemente, llegando a sumar el 80% en el cuarto trimestre. Flash en cambio, mejoró durante el año, ya que empezó teniendo un 40% de todos los fallos y su porcentaje disminuyó hasta el 18% a finales de año.

Según ScanSafe, estos datos son “un claro indicativo” de que los atacantes se decantan por explotar los archivos PDF. Esto puede deberse a que han coincido el “incremento de la disponibilidad de vulnerabilidades en el software de Adobe” y la gran propagación que tiene el uso de estos programas entre los internautas.

El presidente del Instituto SANS de Tecnología aconseja a las empresas que para una mayor seguridad “deberían evitar a Adobe en la medida de lo posible. La seguridad de esta empresa parece estar fuera de control y utilizar sus productos puede poner a cualquier organización en peligro. Para tratar de minimizar el número de ataques hay que evitar el uso de los productos de Adobe siempre que se pueda”.

Los autores del Informe Anual de Amenazas de 2009, señalan por su parte que “es bien conocido” que los hacker suelen utilizar los archivos y programas que más se utilizan en la red. Según esto, no es de extrañar que exploten los fallos de Adobe, aprovechando su difusión, para llegar al mayor número de usuarios posible.

Adobe intenta corregir sus fallos y mejorar sus productos, el pasado martes publicó sus dos últimas actualizaciones (http://antivirus.es/actualizaciones-para-adobe-reader-y-acrobat-1052) que reparaban dos errores importantes de seguridad.

CVE-2010-0186: fallo a través del cual se podría sobrepasar el entorno de protección del dominio. Lo que provocaría ataques de peticiones de dominio cruzados.

CVE-2010-0188: error que puede ocasionar que la aplicación se cierre y se pudiera obtener el control del sistema dañado.

Para instalar las actualizaciones hay dos opciones:

Si se dispone de Reader se puede entrar en ‘Ayuda’ y elegir la opción de ‘Buscar actualizaciones’.

Si la instalación se quiere realizar de forma manual, hay que acceder a la página de descarga e instalar el programa según el sistema operativo del que se disponga, Windows, Macintosh o Unix.

Descarga para Windows: Acrobat y Reader

Descarga para Macintosh: Acrobat y Reader

Descarga para Unix: Acrobat y Reader

Es conveniente mantener el equipo y sus programas actualizados para disponer de una mayor seguridad.

Fuente: Inteco-Cert

Este fallo está siendo usado por lo atacantes para infectar equipos con virus como el Pidief.H. Se trata de un troyano que entra en el equipo a través de un correo electónico que contiene un archivo PDF malicioso que al abrirlo aprovecha la vulnerabilidad del programa para entrar en el ordenador.

La vulnerabilidad se encuentra en el sistema newPlayer 0 del elemento Doc.media .

Adobe, por su parte, ha informado de que facilitará una actualización de seguridad para solucionar el problema el próximo 12 de enero. 

Al conocer la situación, los responsables de Adobe han declarado en el blog de su equipo PSIRT, Product Security Incident Response Team que “Adobe ha recibido diferentes informes sobre una vulnerabilidad en Adobe Reader y Acrobat 9.2, así como en versiones anteriores y que estaba siendo explotada” añadiendo que la compañía esta “investigando el tema y calculando el riesgo que supone para nuestros clientes”.

En principio, la empresa disponía de pocos datos, pero aseguraba que “Tan pronto como tengamos detalles adicionales, actualizaremos nuestro blog informando sobre el tema”.

El director de seguridad y privacidad de productos de Adobe, Brad Arkin, declaró que la empresa conoció el ataque el pasado lunes, cuando afirmo que “los diferentes socios de la comunidad de seguridad han compartido muestras con nosotros del mismo ataque en un intervalo de pocos minutos entre unos y otros esta misma tarde”.

Según el conjunto de voluntarios de seguimiento de malware Shadowserver, los atacantes utilizaron este fallo para mandar archivos PDF malignos a los usuarios.

El fallo parece que se podría deber a la forma en que Reader procesa el código JavaScript. Este tipo de ataque basado en procesar códigos maliciosos JavaScript en Reader ha sido uno de los métodos más utilizados este año por los atacantes.

Aunque la amenaza no se ha propagado en gran medida, se espera que lo haga en las próximas semanas. Shadowserver ha informado de que la mayor parte de los antivirus no descubren el ataque. Para los usuarios preocupados ha aconsejado que deshabiliten JavaScript en el software de Adobe como una forma de eludir el problema.