lunes, 13 de febrero de 2017

Vulnerabilidades en Nitro Pro 10

Se han reportado tres vulnerabilidades en Nitro Pro 10, consideradas de gravedad alta, que podrían permitir a un atacante remoto ejecutar código arbitrario dentro del sistema y provocar condiciones de denegación de servicio. 

Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

Las dos primeras vulnerabilidades (CVE-2016-8709 y CVE-2016-8713) se deben a un error en la librería 'npdf.dll' que podría causar una escritura en memoria fuera de límites o corrupción de memoria. Un atacante remoto podría valerse de archivos PDF especialmente manipulados para provocar una denegación de servicio dentro del sistema.

En la vulnerabilidad con CVE-2016-8711 un atacante remoto podría también aprovechar un error en la misma librería para ejecutar código arbitrario a través también de archivos PDF especialmente manipulados. Las vulnerabilidades han sido reportadas por Piotr Bania de Cisco Talos.

Afectan a la versión Nitro Pro 10.5.9.9 y posiblemente versiones anteriores. Se recomienda actualizar a versiones superiores.

Más información:

Nitro Pro PDF Handling Code Execution Vulnerability
http://www.talosintelligence.com/reports/TALOS-2016-0218
http://www.talosintelligence.com/reports/TALOS-2016-0224
http://www.talosintelligence.com/reports/TALOS-2016-0226

Nitro Pro
http://gonitro.com



Juan Sánchez
jasanchez@hispasec.com
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017