jueves, 17 de abril de 2014

Ejecución de código en Adobe Reader para Android

Siguen los problemas para Adobe. En esta ocasión es Adobe Reader Mobile el producto afectado. La aplicación de Adobe para lectura de documentos pdf en dispositivos Android también se ve afectada por una grave vulnerabilidad.

Reader 11.2 para Android. Fuente: Securify
Adobe ha publicado el boletín APSB14-12 que corrige una vulnerabilidad (con CVE-2014-0514) en Adobe Reader Mobile (versiones 11.1.3 y anteriores) para sistemas Android que permitiría la ejecución de código remoto debido a un fallo en la implementación de las APIs JavaScript. Según Google Play la aplicación está instalada en más de 100 millones de dispositivos.

En concreto el problema reside en que Adobe Reader para Android expone múltiples interfaces Javascript inseguras. Las siguientes clases exponen una o más interfaces Javascript: ARJavaScript, ARCloudPrintActivity y ARCreatePDFWebView. Esto podría permitir que al abrir un pdf malicioso un atacante remoto podrá lograr la ejecución de código Java arbitrario. El fallo fue reportado por la firma Securify de los Países Bajos, que ofrece mayor información del problema y hasta una prueba de concepto.

Adobe ha publicado la versión 11.2 de Adobe Reader Mobile disponible en Google Play, o desde este enlace.
https://play.google.com/store/apps/details?id=com.adobe.reader

Más información:

Security update available for Adobe Reader Mobile
http://helpx.adobe.com/security/products/reader-mobile/apsb14-12.html

Adobe Reader for Android exposes insecure Javascript interfaces
http://www.securify.nl/advisory/SFY20140401/adobe_reader_for_android_exposes_insecure_javascript_interfaces.html



Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017