| |
VSantivirus No. 1030, Año 7, Sábado 3 de mayo de 2003
Virus en archivos .PDF obliga a parche para Adobe Acrobat
http://www.vsantivirus.com/vul-adobe-virus.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
El 30 de abril de 2003, Adobe publicó un parche para su software Adobe Acrobat 5.0.5.
La razón del mismo es una vulnerabilidad en la seguridad del sistema descubierta en dicha versión del programa.
La falla, puede permitir a un atacante aprovecharse de las posibilidades del intérprete de JavaScript utilizado por Acrobat 5.0.5, para lograr la ejecución arbitraria de código desde la carpeta de los plug-ins del propio programa.
Si un archivo PDF con el código malicioso embebido es abierto en una computadora, se puede hacer que el Adobe Acrobat escriba dicho código en la carpeta de los plug-ins, que por regla general reside en \Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins.
Con el reinicio subsecuente del programa, todos los módulos dentro de la carpeta de los plug-ins pueden ser automáticamente activados, si fueron creados de acuerdo a las especificaciones de Adobe. El código malicioso inyectado en esa carpeta, también podría ser lanzado, causando serios daños al sistema del usuario.
Desde hace unos días, existe un virus que explota dicha vulnerabilidad, llamado "Yourde" por la cadena "Your_Death" incluida en su código.
El virus se transporta por documentos con formato .PDF (Portable Document Format), y funciona en sistemas con Acrobat 5.0.5 y Windows instalados. Afortunadamente, por el momento ninguna versión del Adobe Acrobat Reader es vulnerable. Recordemos que éste último es el lector de uso gratuito usado en la mayoría de las computadoras hogareñas para leer documentos PDF.
En este caso, el virus no causa daños (más allá de la infección), pero prueba el concepto de que algo así puede hacerse, aunque no se trata del primer virus en archivos PDF.
Después que el usuario abre un archivo malicioso conteniendo este virus, se liberan dos archivos en la carpeta de los plug-ins ya mencionada:
C:\Program Files\Adobe\Acrobat 5.0\Acrobat\Plug_ins\Death.api
C:\Evil.fdf
El primero, "Death.api", se ejecuta cada vez que se reinicia una sesión del Acrobat, ejecutando a su vez al segundo, "Evil.fdf", el cuál contiene el código JavaScript malicioso embebido en él.
Luego de ello, los archivos .PDF que sean abiertos y explícitamente grabados desde el Acrobat por el usuario, serán infectados. No se infectarán los archivos .PDF que solo sean abiertos o visualizados.
El virus inserta en cada archivo PDF abierto, los dos archivos mencionados, pero solo quedarán allí si el usuario graba dicho archivo.
Aunque este virus no presenta ninguna carga destructiva, el concepto que prueba puede ser explotado de alguna otra forma por escritores de virus maliciosos, por lo que Adobe insta a los usuarios de su software pago, a descargar la actualización o actualizarse a la versión 6.0 del mismo.
Ninguna versión gratuita del Adobe Acrobat Reader es afectada por esta falla. Adobe Acrobat (el software vulnerable) es el editor que permite crear archivos .PDF, y no es gratuito.
Más información y descarga del parche (1.8 Mb):
http://www.adobe.com/support/downloads/detail.jsp?ftpID=2121
Artículos relacionados:
Virus en archivos .PDF obliga a parche para Adobe Acrobat
http://www.vsantivirus.com/vul-adobe-virus.htm
W32/Yourde.A. Infecta archivos PDF
http://www.vsantivirus.com/yourde-a.htm
OUTLOOK.PDFWorm. Primer gusano del mundo en PDF
http://www.vsantivirus.com/peachy-pdfworm.htm
Virus en archivos PDF
http://www.vsantivirus.com/pdf.htm
Ya son una realidad los virus en archivos PDF
http://www.vsantivirus.com/08-08-01.htm
Ejecución de código remoto en KDE con archivos PS/PDF
http://www.vsantivirus.com/vul-kde-ps-pdf.htm
Linux vulnerable a código malicioso en archivos PDF
http://www.vsantivirus.com/28-09-02.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
