Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Sobrescritura de memoria en Acrobat y Acrobat Reader
 
VSantivirus No. 1605 Año 8, domingo 28 de noviembre de 2004

 Sobrescritura de memoria en Acrobat y Acrobat Reader
http://www.vsantivirus.com/vul-acrobat-pdfocx-271104.htm

Por Angela Ruiz
angela@videosoft.net.uy

PDF.OCX, un control ActiveX utilizado por Adobe Acrobat y Acrobat Reader, es propenso a una vulnerabilidad del tipo desbordamiento de búfer que afecta el HEAP (porción de memoria disponible para un programa, también llamada área de memoria dinámica). El problema ocurre por un insuficiente control de límites en los datos brindados por un URI durante una solicitud (carga de documento PDF desde el navegador).

Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

Cuando un usuario hace clic sobre un URI malicioso, el contenido del mismo es copiado dentro de la memoria HEAP del software afectado, sin que se controlen sus límites. El resultado es que trozos de la memoria usada por el programa pueden ser sobrescritos por los datos enviados por el atacante.

Últimamente, esta vulnerabilidad puede ser explotada por un atacante remoto para ejecutar código arbitrario en el contexto de seguridad del usuario que ejecuta el software vulnerable.

Los servidores Microsoft IIS y Netscape Enterprise, utilizan un cero (byte NULL) como indicador de finalización de un URI, y podrían ser utilizados para lanzar un ataque.

Son vulnerables las siguientes versiones:

- Adobe Acrobat 5.0
- Adobe Acrobat 5.0.5
- Adobe Acrobat 6.0
- Adobe Acrobat 6.0.1
- Adobe Acrobat Reader 5.0
- Adobe Acrobat Reader 5.0.5
- Adobe Acrobat Reader 5.1
- Adobe Acrobat Reader 6.0
- Adobe Acrobat Reader 6.0.1

No son vulnerables las siguientes versiones:

- Adobe Acrobat 6.0.2
- Adobe Acrobat Reader 6.0.2

Hasta el momento de publicar este artículo, no ha sido reportado ningún ataque. Tampoco se conocen exploits disponibles para provocar el mismo.

Adobe ha realizado una actualización de Adobe Reader 6.0.2 para este problema. La actualización está disponible para Windows, y requiere que esté instalado Adobe Reader 6.0.1.

Cómo medida de precaución, se sugiere modificar la configuración de Adobe Acrobat y Acrobat Reader, para prevenir que los archivos PDF se abran automáticamente cuando se hace clic sobre un enlace a ellos en el navegador.

1. Abrir el Acrobat u Acrobat Reader
2. Seleccionar el menú Edición, Preferencias
3. En Opciones, desmarcar "Mostrar PDF en Explorador"
4. Clic en Aceptar


Descarga:

Adobe Acrobat Reader 6.0.1:

Adobe Patch Acro-Reader_6.0.2_Update.exe
http://www.adobe.com/support/downloads/thankyou.jsp?ftpID=2589&fileID=2433


Créditos:

Rafel Ivgi


Referencias:

Adobe Acrobat/Acrobat Reader
ActiveX Control Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=
126&type=vulnerabilities&flashstatus=true

Adobe
http://www.adobe.com/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS