669676665 gmolino@gmail.com

Se han encontrado dos vulnerabilidades que afectan a las versiones 6.x de Adobe Acrobat y Adobe Reader, uno de los programas más populares para la edición y visualización de archivos en formato PDF (Portable Document Format).

La primera vulnerabilidad afecta a Adobe Acrobat y Adobe Reader en Macintosh. Usuarios locales pueden eludir restricciones de seguridad y elevar privilegios. El fallo se debe a permisos inseguros por defecto en los ficheros y directorios de instalación. Esto permite a usuarios locales no privilegiados borrar ficheros o reemplazarlos por otros binarios de forma que se podría lanzar malware inadvertidamente.

El fallo se ha dado en Adobe Acrobat 6.0.4 y Adobe Reader 6.0.4 para Mac OS aunque versiones anteriores pueden verse afectadas. Se recomienda actualizar a Adobe Acrobat 6.0.5 o Adobe Reader 6.0.5 ó 7.0.8 desde http://www.adobe.com/support/downloads/

Se ha encontrado además una vulnerabilidad en Adobe Acrobat que puede ser aprovechada por atacantes para comprometer el sistema víctima.

El fallo se debe a un error de límites a la hora de “destilar” ficheros a PDF. Esto puede ser aprovechado para crear un desbordamiento de memoria intermedia a través de un documento especialmente manipulado, que llevaría a la ejecución de código. El fallo se ha encontrado en las versiones 6.0 hasta 6.0.4 del programa para Windows y Mac OS. La versión 6.0.5 no es vulnerable y puede ser obtenida desde aqui
Adobe no ha ofrecido muchos más detalles sobre los errores, pero califica este último de crítico. Se recomienda actualizar el software afectado.

Via Hispasec