|
Múltiples vulnerabilidades en lectores de archivos PDF
|
|
VSantivirus No 2340 Año 11, lunes 8 de enero de 2007
Múltiples vulnerabilidades en lectores de archivos PDF
http://www.vsantivirus.com/vul-pdf-060107.htm
Por Angela Ruiz
angela@videosoft.net.uy
Diferentes lectores de archivos PDF son propensos a múltiples vulnerabilidades del tipo desbordamiento de búfer. La situación se produce debido a que por diseño, éstas aplicaciones no comprueban los límites de la información proporcionada por estos archivos, antes de manipular la misma y copiarla a un búfer con insuficiente tamaño para recibirla.
Un atacante puede explotar estas debilidades para ejecutar código de forma arbitraria, aunque esto depende del contexto y del lector en concreto. La prueba de concepto existente, solo ocasiona una denegación de servicio (la aplicación involucrada se congela y deja de responder). Otros ataques podrían ser implementados a partir de esta situación, y ser empleados para el robo de información, o la ejecución de algún código malicioso.
El problema se origina al aplicar las especificaciones para los documentos en formato PDF (Adobe Portable Document Format). La especificación 1.3 de Adobe, define una serie de objetos en forma de árbol con jerarquías (cada objeto se organiza en diferentes ramas, cada una dependiente de la anterior hasta llegar a la raíz), formando un diccionario en forma de catálogo. El catálogo contiene las referencias necesarias a objetos y datos que componen el contenido del documento y sus atributos. También, contiene directivas para definir la forma en que el documento debe ser mostrado al usuario por la aplicación.
Por un error de diseño, no se contempla en estas especificaciones el uso de nodos o ramas con referencias u objetos inválidos. De ese modo, cuando el documento incorpora un nodo inválido, la conducta de la aplicación es inesperada. Las consecuencias (entre otras), pueden ser la corrupción de la memoria, acceso no autorizado a zonas de la memoria y denegación de servicio.
La corrupción de la memoria con la consecuente escritura de datos en áreas no previstas para ello, pueden llevar a la ejecución arbitraria de código.
Hasta ahora se ha comprobado el problema en los siguientes lectores de archivos PDF:
- Adobe Acrobat Reader 7.0.x
- Adobe Acrobat Reader 6.0.x
- Adobe Acrobat Reader 5.1
- Adobe Acrobat Reader 5.0.x
- Adobe Acrobat Reader 4.0.x
- Adobe Acrobat Reader 3.0
- Apple Mac OS X Preview.app 3.0.8 (409)
- Xpdf 3.0.1 (Patch 2)
Tenga en cuenta que otras aplicaciones también podrían ser afectadas, ya que no se debe a un problema de las aplicaciones en si mismas, sino a un error de diseño de las especificaciones para leer estos archivos.
No es afectada la versión 8.0 de Acrobat Reader.
Debido a su naturaleza (error de diseño), no existe una solución concreta para este problema. Las consecuencias de su explotación, dependerán de la aplicación y la plataforma utilizada.
Se recomienda como una forma de disminuir los riesgos, no abrir documentos PDF no solicitados, o de fuentes no comprobadas, y mantener actualizado su antivirus.
Una solución temporal también podría ser utilizar únicamente Acrobat Reader 8.0.0 como lector, pero ello no asegura al usuario no ser afectado por otras consecuencias de este problema.
Note que este asunto es diferente al descrito anteriormente en la siguiente alerta:
Vulnerabilidades críticas en Adobe Reader (ene/07)
http://www.vsantivirus.com/vul-adobe-030107.htm
Referencias:
Multiple PDF Readers Multiple Remote Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/21910/info
MOAB-06-01-2007: Multiple Vendor PDF Document Catalog Handling Vulnerability
http://projects.info-pull.com/moab/MOAB-06-01-2007.html
Relacionados:
Descarga de Adobe Acrobat 8.0:
www.adobe.com/es/products/acrobat/readstep2_allversions.html
NOTA: Asegúrese de seleccionar la versión 8.0, lamentablemente no disponible aún en español.
Créditos:
LMH
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|