Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en Adobe Reader descarga troyano
 
VSantivirus No 2638 Año 11, martes 12 de febrero de 2008

Vulnerabilidad en Adobe Reader descarga troyano
http://www.vsantivirus.com/12-02-08.htm

Por Angela Ruiz
angela@videosoft.net.uy

Las versiones anteriores a la 8.1.2 de Adobe Reader contienen una vulnerabilidad del tipo desbordamiento de búfer, la cuál está siendo utilizada actualmente para la propagación de código malicioso.

El exploit, un script embebido en un archivo PDF actualmente detectado como PDF/Exploit.Pidief.A por ESET NOD32, descarga otros malwares.

Hasta el momento, uno de los troyanos descargados pertenece a la familia de los KillAV (también detectado como variante del Bagle), capaz de deshabilitar los procesos de conocidos antivirus y modificar la configuración de las zonas de seguridad de Internet, para habilitar la ejecución de otros programas no autorizados. También es llamado Zonebac.A (o sus variantes) por otros vendedores.

Debemos tener en cuenta que luego que el exploit se ejecuta (o sea, si el usuario abre un archivo PDF modificado para que ello ocurra), es posible descargar cualquier otra clase de código malicioso, por lo que el hecho de que el KillAV (o Zonebac), sea uno de los detectados hasta el momento, puede considerarse meramente informativo.

El problema se produce por una insuficiente validación del código JavaScript en el control de Adobe Reader que permite la apertura de archivos PDF directamente en el navegador, lo que habilita la copia de ciertas cadenas a un búfer de insuficiente tamaño. El exploit agrega código que sobrescribe áreas críticas del programa para ejecutarse.

El ataque debe provocarse a través del enlace a un PDF en un sitio Web. Si no se ejecuta el PDF dentro del navegador, la vulnerabilidad no podría ser explotada. Un método para evitar esto, es descrito en nuestro artículo "Cómo hacer que un archivo PDF no se abra en el navegador", http://www.vsantivirus.com/faq-acrobat-pdf-navegador.htm

Los archivos PDF son ampliamente utilizados hoy en día en múltiples actividades, por lo que el riesgo de infección es muy alto. Por ello recomendamos la actualización urgente de Adobe Reader.

Aquellos usuarios que no puedan actualizarse a la versión 8.1.2 del programa, pueden utilizar otras opciones para leer archivos PDF. En VSAntivirus hemos probado la aplicación Foxit Reader 2.2, con muy buenos resultados hasta el momento.

Foxit funciona en Windows 98, ME, 2000, XP, 2003 y Vista, y es gratuito para uso personal. Puede ser configurado al idioma español desde la lengüeta "Language", descargándose desde Internet un simple archivo XML.

Aconsejamos habilitar la opción para descargar los archivos PDF cuando se hace clic en un enlace a ellos desde Internet, en lugar de que se abran en el navegador. En Foxit, dicha opción se encuentra en "Editar", "Preferencias", "Internet", donde debemos tildar la casilla "Show file download dialog".


Más información:

Adobe JavaScript methods buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/666281

Una vulnerabilidad en Adobe Reader está siendo aprovechada para instalar malware
http://www.hispasec.com/unaaldia/3397/

Adobe corrige 26 vulnerabilidades en Adobe Reader 8.1.2
http://www.vsantivirus.com/vul-acrobat-812-060208.htm

PDF/Exploit.Pidief.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4250

Win32/Zonebac.A
http://www.enciclopediavirus.com/virus/vervirus.php?id=4251


Descarga Adobe Reader 8.1.2

http://www.adobe.es/products/acrobat/readstep2.html


Descarga Foxit 2.2

http://www.foxitsoftware.com/pdf/reader_2/down_reader.htm








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS