Adobe ha lanzado una actualización de emergencia que soluciona un par de vulnerabilidades consideradas como críticas en sus programas de edición y visualización de PDF.
Uno de los errores solucionados es del mismo tipo que el arreglado la semana pasada en Flash Player, el reproductor multimedia de Adobe, mientras que el segundo permite a los atacantes instalar malware en la máquina infectada.
El error relacionado con Flash Player, cuyo número es CVE-2010-0186 en la base de datos Common Vulnerabilities and Exposures (CVE), no puede utilizarse para introducir código maligno en un sistema, pero sí puede aprovecharse para robar información en un ataque tipo cross-site scripting, según explica Andrew Storms, director de seguridad en nCircle Network Security.
Desde que Adobe actualizara su reproductor hasta el lanzamiento de este nuevo parche para Acrobat y Reader, estos últimos programas eran teóricamente vulnerables al ataque anteriormente descrito, aunque según Storms no se tiene constancia de que ningún hacker haya aprovechado tal circunstancia.
La segunda vulnerabilidad arreglada es la CVE-2010-0188 y fue descubierta por Microsoft a través de su Microsoft Vulnerability Research Program (MSVR), donde los investigadores de la compañía publican errores que encuentran en aplicaciones de terceros (como los plug-ins para navegadores). Lo más probable es que Microsoft haya localizado este fallo a través de su propio proceso de seguridad o que haya recibido una alerta de algún cliente para, posteriormente, informar a Adobe, quien no ha querido aclarar la causa.
Storms critica la poca información que se facilita con la actualización y considera que este oscurantismo no hace si no hacer más atractivo el fallo de cara a los hackers. Por su parte, desde Adobe se mantiene que la compañía evalúa cada vulnerabilidad para decidir si lanza el parche en la actualización normal o si es preferible arreglarla cuanto antes. “Hay muchos factores que se tienen en cuenta, y cada vulnerabilidad es única”, sentencia Brad Arkin, director de seguridad e intimidad de los productos de Adobe.
Lo cierto es que desde que los programas de Adobe se convirtieran en un objetivo claro para los delincuentes, el sistema de actualización y seguridad de la compañía se ha situado en el ojo del huracán.
La última actualización para los programas PDF (Adobe Reader 9.3.1 y 8.2.1) puede descargarse desde el boletín de seguridad de la compañía.
No hay comentarios:
Publicar un comentario