[Alumnos] Fwd: Adobe Reader: Ejecución remota de código arbitrario

Eduardo A. Suárez esuarez en fcaglp.fcaglp.unlp.edu.ar
Mie Abr 29 17:37:00 ART 2009 

*Adobe Reader: Ejecución remota de código arbitrario*
Se ha reportado una vulnerabilidad en Acrobat Reader, que podría ser
aprovechada para la ejecución remota de código arbitrario en un sistema
vulnerable.

*Versiones Afectadas*
Se ven afectadas por esta vulnerabilidad las siguientes versiones para
Mac, Linux y Windows:

     * Adobe Acrobat Reader 9.x.x
     * Adobe Acrobat Reader 8.x.x
     * Adobe Acrobat Reader 7.x.x

Recomendamos consultar el sitio del proveedor por información
actualizada de las versiones afectadas por esta vulnerabilidad.

*Detalle*
Un error al procesar llamadas al método JavaScript "getAnnots()" puede
ser explotado para corromper memoria mediante un archivo PDF
especialmente modificado. Esto puede permitir a un atacante ejecutar
código arbitrario con los privilegios del usuario causando una fallo de
la aplicación o una denegación de servicio.

*Impacto*
El impacto de esta vulnerabilidad es* ALTAMENTE CRÍTICO*.

*Recomendaciones*
Se recomienda:

     * Deshabiltar la ejecución de JavaScrit en la aplicación.
     * No abrir archivos PDF que no fueron solicitados.
     * Utilizar lectores de archivos PDF alternativos.

Hasta el momento el Proveedor no ha publicado una solución a este problema.

*Referencias*
Más información sobre la vulnerabilidad reportada:

Hispasec:
http://www.hispasec.com/unaaldia/3840

Adobe:
http://blogs.adobe.com/psirt/

Security Focus:
http://www.securityfocus.com/bid/34736/info


-- 
Eduardo A. Suarez
Facultad de Ciencias Astronomicas y Geofisicas
Universidad Nacional de La Plata
Tel: (0221)-4236593 int. 158(35)/Cel: (0221)-15-4557542/Casa: (0221)-4526589
------------------------------------------------------------------------------
"In a world where data is the coin of the realm, and transmissions are guarded
by no better sentinels than man-made codes and corruptible devices, there is
no such thing as a secret." - This Alien Shore

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

Más información sobre la lista de distribución Alumnos