Alerta: Exploits para la vulnerabilidad en PDF - xombra.com



Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato.


Acrobat ha publicado un parche para este problema, que afecta a las versiones de Adobe Reader 8.x y 7.x, cuando se ejecutan bajo Windows XP con Internet Explorer 7.0 instalado (los usuarios de Windows Vista no son afectados).

El exploit está basado en una prueba de concepto mostrada recientemente, la cuál permitía la ejecución de la calculadora de Windows.

Las versiones reportadas, han sido distribuidas en archivos con nombres como "BILL.PDF", "INVOICE.PDF", "YOUR_BILL.PDF" o"STATEMET.PDF", en mensajes con asuntos como "INVOICE alacrity", "STATEMET indigene" e "INVOICE depredate". Sin embargo esto solo debe tomarse como referencia, ya que es evidente que resulta trivial el utilizar cualquier otro nombre o mensaje para engañar a la posible víctima.

El problema debe ser considerado muy seriamente, desde que el formato PDF es hoy en día ampliamente utilizado para el envío de facturas, listas de precios, boletines informativos, y otros documentos.

La versión actual del exploit, puede ejecutar un comando de Windows XP que deshabilita su cortafuegos, lanza el comando FTP del propio Windows para descargar un malware y luego ejecutarlo, todo ello a partir de un doble clic del usuario sobre un PDF aparentemente inocente.

ESET NOD32 ha agregado la firma genérica PDF/Exploit.Shell.A que detecta esta clase de archivo malicioso.

Una actualización para las versiones vulnerables de Acrobat Reader están disponibles en el siguiente enlace:

Adobe Reader 8.1.1 update - multiple languages
http://www.adobe.com/support/downloads/detail.jsp?ftpID=3806

La actualización requiere tener instalado Adobe Reader 8.1.0
(ver en "Ayuda", "Acerca de Adobe Reader"). Los usuarios con
la versión 8.0 en español, deberán instalar la versión 8.1
desde el siguiente enlace antes de instalar este parche:

http://www.adobe.com/products/acrobat/readstep2.html

Para Adobe Acrobat Professional y Standard, estos son los enlaces:

Adobe Acrobat 8.1.1 Professional and Standard update - multiple languages
http://www.adobe.com/support/downloads/detail.jsp?ftpID=3796

La actualización debe ser aplicada sobre la versión 8.1.0 de Adobe Acrobat Professional, Standard, o 3D. Los usuarios de versiones anteriores (8.0 y 7.x), deben actualizarse antes a la versión 8.1.0 desde el siguiente enlace y luego aplicar este parche (8.1.1):

http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows

Son afectadas las versiones Adobe Reader 8.x y 7.x, así como Adobe Acrobat Professional 8.x y 7.x.

* Relacionados:

Cómo correr menos riesgos al abrir archivos PDF
http://www.vsantivirus.com/faq-pdf.htm

Exploit.Shell.A. Detección de exploit en archivos PDF
http://www.vsantivirus.com/exploit-shell-a.htm


* Más información:

Posible vector de ataque vía IE y Acrobat Reader
http://www.vsantivirus.com/17-10-07.htm

Vulnerabilidad en Adobe Reader y Acrobat (mailto)
http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm

Posible vulnerabilidad en lectores de archivos PDF
http://www.vsantivirus.com/vul-pdf-zeroday-200907.htm

PDF mailto exploit documents in the wild
http://isc.sans.org/diary.html?storyid=3537

Update available for vulnerability in versions 8.1 and
earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb07-18.html

Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interes:

 Los hacker utilizan Google Code Search para sus objetivos
Parece que Google ha proporcionado inadvertidamente una nueva herramienta a los atacantes online. El nuevo motor de búsqueda de código fuente de la compañía, dirigido inicialmente a facilitar la vida de los desarrolladores, también puede utilizarse con otros propósitos menos bondadosos, como por ejemplo la existencia de bugs en el software, información sobre contraseñas e incluso código propietario que no debería haberse publicado en primer lugar, según comentan los expertos de seguridad.
 Graves vulnerabilidades remotas en Apache Struts
Se han anunciado cuatro vulnerabilidades en Apache Struts (versiones 2.1.0 a 2.3.1), que podrían permitir a un atacante remoto ejecutar código Java o sobreescribir archivos arbitrarios en el sistema objetivo.
 Debian Day - Valencia-Carabobo 13-08-2011
El Debian Day (Día Debian) es celebrado todos los 16 de agosto en diferentes países y ciudades. El grupo de usuarios de VaSlibre lo celebrará el 13 de agosto de 2011 en las instalaciones del INCES de los Colorados.
 Actualización acumulativa para Microsoft Internet Explorer
Dentro del conjunto de boletines de seguridad de julio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-045) de una actualización acumulativa para Internet Explorer; que además solventa cinco nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.
 ¿Solucionará Windows Vista el problema de los virus?
Recientemente me preguntaron: "¿Solucionarán, las nuevas medidas de seguridad en Windows Vista, el problema de los virus?"

Indique que busca!!!


Redes sociales

Agregame a tus círculos

Sigueme en Twitter

Agregame a tu lector de RSS



Categorías




blog roll


Nube de tags

  • alerta

  • exploits

  • vulnerabilidad

  • pdf

  • xombra

  • ubuntu

  • linux

  • fedora

  • blog

  • web

  • internet

  • gentoo

  • debian

  • mint

  • gnu

  • sabayon

  • libre

  • fice

  • thunderbird

  • firefox

  • mozilla

  • vaslibre

  • tware

  • opensource

  • sl

  • centos

  • chrome

  • bug

  • noticia

  • tecnologia

  • computer

  • system

  • php

  • mysql