|
Desbordamiento de búfer en Adobe Acrobat Reader
|
|
VSantivirus No. 1503 Año 8, martes 17 de agosto de 2004
Desbordamiento de búfer en Adobe Acrobat Reader
http://www.vsantivirus.com/vul-acrobat-pdfocx.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad reportada en Adobe Acrobat Reader 5.x y Adobe Reader 6.x, puede ocasionar un desbordamiento de búfer según publica Secunia en una reciente alerta.
La vulnerabilidad, reportada por Rafel Ivgi, puede ser explotada por usuarios maliciosos para comprometer el sistema del usuario.
El fallo es provocado por un error de límites en el componente "pdf.ocx", un objeto ActiveX proporcionado por el propio Adobe Acrobat Reader.
Esto puede ser explotado desde un sitio web malicioso, por medio de un enlace modificado de tal modo, que pueda provocar un desbordamiento de búfer en el componente mencionado, dando como resultado la posible ejecución remota de código en el equipo del usuario con las versiones vulnerables del Acrobat.
El problema ha sido reportado en la versión 5.0.5, pero otras versiones podrían también ser afectadas.
Aunque el vendedor ha anunciado haber solucionado esto en la versión 6.0.2 de Adobe Acrobat Reader, ha sido reportado que aún con esta versión, el fallo podría ser explotado para provocar un ataque de denegación de servicio (DoS), provocando el fallo del programa.
Lo aconsejado, es prevenir que los archivos PDF sean abiertos automáticamente cuando se visualizan en el navegador de Internet.
Para ello, abra el Adobe Acrobat o el Acrobat Reader.
Luego, seleccione el menú "Edición" y luego elija "Preferencias".
En la columna de la izquierda, haga clic en "Opciones"
Desmarque en "Opciones de explorador Web" (arriba de todo), la casilla "Mostrar PDF en explorador"
Créditos: Rafel Ivgi
Relacionados:
Adobe Acrobat/Acrobat Reader ActiveX Control Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=126&type=vulnerabilities
Adobe Acrobat Reader ActiveX Control Buffer Overflow Vulnerability
http://secunia.com/advisories/12303/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|