|
Vulnerabilidad en Adobe Reader descarga troyano
|
|
VSantivirus No 2638 Año 11, martes 12 de febrero de 2008
Vulnerabilidad en Adobe Reader descarga troyano
http://www.vsantivirus.com/12-02-08.htm
Por Angela Ruiz
angela@videosoft.net.uy
Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la propagación de código malicioso.
El exploit, un script embebido en un archivo PDF actualmente detectado como PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.
Hasta el momento, uno de los troyanos descargados pertenece a la familia de los KillAV (también detectado como variante del Bagle), capaz de deshabilitar los procesos de conocidos antivirus y modificar la configuración de las zonas de seguridad de Internet, para habilitar la ejecución de otros programas no autorizados. También es llamado Zonebac.A (o sus variantes) por otros vendedores.
Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o Zonebac), sea uno de los detectados hasta el momento, puede considerarse meramente informativo.
El problema se produce por una insuficiente validación del código JavaScript en el control de Adobe Reader que permite la apertura de archivos PDF directamente en el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para ejecutarse.
El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada. Un método para evitar esto, es descrito en nuestro artículo "Cómo hacer que un archivo PDF no se abra en el navegador",
http://www.vsantivirus.com/faq-acrobat-pdf-navegador.htm
Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización urgente de Adobe Reader.
Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa, pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados hasta el momento.
Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es gratuito para uso personal. Puede ser configurado al idioma español desde la lengüeta "Language", descargándose desde Internet un simple archivo XML.
Aconsejamos habilitar la opción para descargar los archivos PDF cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran en el navegador. En Foxit, dicha opción se encuentra en "Editar", "Preferencias", "Internet", donde debemos tildar la casilla "Show file download
dialog".
Más información:
Adobe JavaScript methods buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/666281
Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
http://www.hispasec.com/unaaldia/3397/
Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
http://www.vsantivirus.com/vul-acrobat-812-060208.htm
PDF/Exploit.Pidief.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4250
Win32/Zonebac.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4251
Descarga Adobe Reader 8.1.2
http://www.adobe.es/products/acrobat/readstep2.html
Descarga Foxit 2.2
http://www.foxitsoftware.com/pdf/reader_2/down_reader.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|