Alerta: Exploits para la vulnerabilidad en PDF

Alerta: Exploits para la vulnerabilidad en PDF
	VSantivirus No 2572 Año 11, miércoles 24 de octubre de 2007 Alerta: Exploits para la vulnerabilidad en PDF http://www.vsantivirus.com/24-10-07.htm Por Angela Ruiz angela@videosoft.net.uy Se ha reportado un exploit activo para la vulnerabilidad en archivos PDF que permite la ejecución remota de código a través de la simple visualización de un archivo en ese formato. Acrobat ha publicado un parche para este problema, que afecta a las versiones de Adobe Reader 8.x y 7.x, cuando se ejecutan bajo Windows XP con Internet Explorer 7.0 instalado (los usuarios de Windows Vista no son afectados). El exploit está basado en una prueba de concepto mostrada recientemente, la cuál permitía la ejecución de la calculadora de Windows. Las versiones reportadas, han sido distribuidas en archivos con nombres como "BILL.PDF", "INVOICE.PDF", "YOUR_BILL.PDF" o "STATEMET.PDF", en mensajes con asuntos como "INVOICE alacrity", "STATEMET indigene" e "INVOICE depredate". Sin embargo esto solo debe tomarse como referencia, ya que es evidente que resulta trivial el utilizar cualquier otro nombre o mensaje para engañar a la posible víctima. El problema debe ser considerado muy seriamente, desde que el formato PDF es hoy en día ampliamente utilizado para el envío de facturas, listas de precios, boletines informativos, y otros documentos. La versión actual del exploit, puede ejecutar un comando de Windows XP que deshabilita su cortafuegos, lanza el comando FTP del propio Windows para descargar un malware y luego ejecutarlo, todo ello a partir de un doble clic del usuario sobre un PDF aparentemente inocente. ESET NOD32 ha agregado la firma genérica PDF/Exploit.Shell.A que detecta esta clase de archivo malicioso. Una actualización para las versiones vulnerables de Acrobat Reader están disponibles en el siguiente enlace: Adobe Reader 8.1.1 update - multiple languages http://www.adobe.com/support/downloads/detail.jsp?ftpID=3806 La actualización requiere tener instalado Adobe Reader 8.1.0 (ver en "Ayuda", "Acerca de Adobe Reader"). Los usuarios con la versión 8.0 en español, deberán instalar la versión 8.1 desde el siguiente enlace antes de instalar este parche: http://www.adobe.com/products/acrobat/readstep2.html Para Adobe Acrobat Professional y Standard, estos son los enlaces: Adobe Acrobat 8.1.1 Professional and Standard update - multiple languages http://www.adobe.com/support/downloads/detail.jsp?ftpID=3796 La actualización debe ser aplicada sobre la versión 8.1.0 de Adobe Acrobat Professional, Standard, o 3D. Los usuarios de versiones anteriores (8.0 y 7.x), deben actualizarse antes a la versión 8.1.0 desde el siguiente enlace y luego aplicar este parche (8.1.1): http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows Son afectadas las versiones Adobe Reader 8.x y 7.x, así como Adobe Acrobat Professional 8.x y 7.x. Relacionados: Cómo correr menos riesgos al abrir archivos PDF http://www.vsantivirus.com/faq-pdf.htm Exploit.Shell.A. Detección de exploit en archivos PDF http://www.vsantivirus.com/exploit-shell-a.htm Más información: Posible vector de ataque vía IE y Acrobat Reader http://www.vsantivirus.com/17-10-07.htm Vulnerabilidad en Adobe Reader y Acrobat (mailto) http://www.vsantivirus.com/vul-adobe-cve-2007-5020.htm Posible vulnerabilidad en lectores de archivos PDF http://www.vsantivirus.com/vul-pdf-zeroday-200907.htm PDF mailto exploit documents in the wild http://isc.sans.org/diary.html?storyid=3537 Update available for vulnerability in versions 8.1 and earlier of Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb07-18.html Vulnerability Summary CVE-2007-5020 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5020 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com