miércoles, 7 de diciembre de 2011

Varios nuevos fallos de seguridad en productos de Adobe, y este año van....

Imágen obtenida de http://www.redusers.com

A finales de Noviembre, nos llegaba la noticia de que Adobe publicaba una actualización de seguridad para corregir una vulnerabilidad importante detectada en Adobe Flex SDK 4.5.1(y anteriores) y 3.6 (y anteriores) para Windows, Mac y Linux y que afecta a la gran mayoría de software desarrollado con este entorno.
El fallo de seguridad en cuestión, posibilitaría que un atacante realizara ataques de cross-site scripting (¿Y qué es eso de "cross-site scripting"?. Pues básicamente es la falta de mecanismos de filtrado en los campos de entrada de una página web o aplicación y que permiten el ingreso y envío de datos sin validación alguna, de tal forma que la aplicación en cuestión puede aceptar incluso el envío de scripts completos que pueden generar secuencias de comandos maliciosas que dañen el sitio e incluso el equipo de un usuario) en aplicaciones Flex.
Entonces, Adobe recomendaba al usuario que se actualizara, verificara que los archivos SWF de sus aplicaciones no eran vulnerables y en caso de que lo fueran actualizarlos usando las instrucciones y herramientas que proporcionaba Adobe. Ver: http://kb2.adobe.com/cps/915/cpsid_91544.html
 
Pues ahora, a comienzos de Diciembre y solamente con 7 días de diferencia, Adobe informa de una nueva vulnerabilidad.

En este caso es un "0-day" (¿Y qué es una vulnerabilidad de día cero?. Es aquella que están usando los atacantes aprovechando que aún no es conocida por los fabricantes del software al que afecta la vulnerabilidad. Es decir, que puede llevar siendo aprovechada por los atacantes durante un tiempo más o menos largo antes de que sea detectada y solucionada "oficialmente") que afecta tanto a Adobe Reader como a Acrobat.

La vulnerabilidad  ha sido considerada como crítica y afecta a Adobe Reader X (10.1.1 y versiones anteriores) para Windows y Macintosh, Adobe Reader 9.4.6 (y versiones 9.x anteriores) para UNIX, y Adobe Acrobat X (10.1.1) y versiones anteriores para Windows y Macintosh. 

Si queréis saber información más técnica acerca de la vulnerabilidad podéis consultar el boletín emitido por Adobe: http://www.adobe.com/support/security/advisories/apsa11-04.html

Como se puede leer en el propio boletín que hemos mencionado anteriormente, están en proceso de finalizar una solución y publicar la actualización para Adobe Reader y Acrobat 9.x para Windows durante la semana próxima. 

No obstante, la actualización para Adobe Reader X y Acrobat X para Windows no será liberada hasta la próxima actualización de seguridad programada para el próximo trimestre (concretamente para el 10 de Enero de 2.012).
¿Y por qué este retraso?. Pues básicamente porque Adobe Reader X Protected Mode y Adobe Acrobat X Protected View (activados por defecto en ambos productos) pueden evitar la ejecución de este tipo de fallos.

En fin, dos graves vulnerabilidades en poco tiempo, que vienen precedidas de múltiples vulnerabilidades detectadas a lo largo de este año que termina en productos Adobe y principalmente en su producto estrella: Flash Player.
Esperemos que el nuevo año que está a punto de llegar sea mejor en cuanto a temas de seguridad para los desarrolladores de Adobe y, en consecuencia, para sus productos.

No hay comentarios:

Publicar un comentario