Una
vez más, una
vulnerabilidad reportada por Project Zero sale a luz, esta vez sobre Adobe
Reader y podría permitir a un atacante tomar el control de los sistemas
afectados.
Los fabricantes van a tener una
cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son
90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.
En esta ocasión, el fabricante
vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe
Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer
basado en "heap" en
CoolType.dll.
El problema fue reportado por Mateusz
Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe
confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su
corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.
Sin embargo, según Mateusz, la
actualización adelantada por Adobe no incluía corrección para el problema en la
plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera
solucionado en todas las plataformas.
Han pasado varias actualizaciones
desde que Adobe confirmara la próxima publicación del parche pero el problema
no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política,
ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.
¿Son suficientes 90 días para corregir una vulnerabilidad en un
producto? ¿Es necesario hacer públicos todos los detalles del problema antes de
que se publique el parche?
Más información:
Adobe Reader X and XI for Windows out-of-bounds
write in CoolType.dll
una-al-dia (23/01/2015) Google anuncia vulnerabilidades en
OS X
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario