Es necesario aplicar un patch de seguridad a productos de Adobe

16 Dic 2004 en Seguridad

Adobe liberó un patch con el que se soluciona la vulnerabilidad creada por varias brechas descubiertas en sus productos Reader y Acrobat Pro versiones 6.0 a 6.0.2. Las vulnerabilidades se descubrieron en los módulos Flash, eBooks y PNG embebidos en estos productos. Además, Adobe emitió por separado otro patch que soluciona la misma clase de problema descubierto en su versión Unix 5.0.10. Adobe publicó los arreglos luego de que varios reportes de Secunia e iDefense advirtieran de problemas de importancia crítica y agujeros de seguridad que los hackers podrían utilizar para acceder a información privada o comprometer al sistema de un usuario. Por ejemplo, la explotación de un overflow de buffer en la versión 5.09 de Adobe Acrobat Reader for Unix, permite la ejecución de código arbitrario en la máquina invadida. La vulnerabilidad está en la función mailListIsPdf(). Esta función controla si un archivo de input es un email conteniendo un PDF. Luego, copia en forma insegura los datos del usuario utilizando srrcat en un buffer de tamaño fijo. En otros casos, un error de formato en un string dentro del eBook puede ser explotado para ejecutar código arbitrario cuando analiza los archivos .etd. Esto ocurre cuando eBook contiene especificadores de formato en los campos “title” y “baseurl.” Existen otros problemas con los archivos Flash embebidos en documentos PDF. Adobe anunció que la actualización necesita que esté instalada la versión en inglés o japonés de Adobe Reader 6.0.2. El soporte para la actualización de las principales 15 localizaciones de Adobe Reader se liberará más tarde. Puede convenir utilizar una versión completa no comprimida de Adobe Reader 6.0.2 antes de aplicar el update a versión 6.0.3. Patch disponible en: http://www.adobe.com/support/downloads/detail.jsp?