La falla estaba presente en Flash Player, Acrobat y Reader en todos los sistemas operativos. Curiosamente, para arreglar el problema Adobe lanzó un parche para Acrobat que arregla el problema en Flash. Como sea, quienes usen este software mejor procedan a actualizar, para estar seguros.

Link: Adobe

En teoría la vulnerabilidad permitiría a un atacante tomar el control de la máquina afectada, utilizando un archivo PDF que podría llegar como archivo adjunto en un correo. Al abrir el documento este podría aprovechar la vulnerabilidad para copiar un archivo ejecutable en un directorio temporal del computador, para posteriormente ejecutarlo sin que el usuario se de cuenta.

Por el momento la compañía no ha liberado un parche que permita corregir el problema, por lo que se recomienda desactivar JavaScript o utilizar algún programa lector de PDF alternativo.

Links:

• Security Advisory for Adobe Reader and Acrobat (Adobe)
• Adobe Reader / Acrobat Font Parsing Buffer Overflow Vulnerability (Secunia)

El parche fue lanzado el 29 de junio pasado con la finalidad de “resolver” un problema detectado hace tres meses, pero Le Manh Tung (especialista en seguridad) descubrió que incluso una vez aplicado el parche la vulnerabilidad seguía existiendo.

Según Tung basta con modificar el ataque original para lograr ejecutar código en el computador, por lo que en realidad el parche sólo soluciona la forma, pero no el fondo de la vulnerabilidad.

Ahora tendremos que esperar hasta que Adobe se digne a resolver el problema de manera definitiva, esperemos que esto sea así y no nos llenemos de parches que en realidad no solucionan nada.

Link: Adobe fix still allows “Escape from PDF” (Vía CHW)

La actualización está disponible para Windows, Mac y Linux. En total, se repararon 32 bugs, lo que es un número bastante grande para este tipo de actualizaciones. Adobe lanzó ayer también Flash 10.1, que está inmunizado contra la falla crítica.

Según los reportes, Adobe estaría pensando parchar sus aplicaciones más frecuentemente, para aumentar la seguridad de sus programas. Según Adobe, más de un 95% de los PC del mundo tienen instalado Flash, lo que hace que este programa en particular sea un punto de interés para los crackers y repartidores de malware.

Link: After attacks, Adobe fixes Flash bug (Computerworld)

Se trata de una falla de “día cero” que recién fue descubierta ahora y todas las plataformas (Windows, Mac OSX, Linux y Solaris) son vulnerables, afirmó Adobe. Se trata de algo alarmante considerando que casi todo el mundo tiene instalado alguno de los tres programas mencionados.

Las versiones afectadas son Adobe Flash Player 10.0.45.2, 9.0.262 y versiones 10.0.x y 9.0.x para Windows, Mac, Linux y Solaris; en el caso de Adobe Reader y Acrobat, las versiones 9.3.2 y anteriores 9.0.x para Windows, Mac y UNIX.

La compañía no ha entregado fechas para un parche que solucione esta falla. Adobe indicó, sin embargo, que Flash Player 10.1 Release Candidate “no parece ser vulnerable”, lo que ha llevado a algunos a descargar esta versión.

Para ver PDFs se puede optar por versiones anteriores (8.x) que no estarían afectadas, o bien elegir un programa alternativo.

La vulnerabilidad estaría radicada en el archivo authplay.dll, respecto al que Adobe recomienda:

borrar, renombrar o remover acceso al authplay.dll que viene con Adobe Reader y Acrobat 9.x mitiga la amenaza para esos productos, pero los usuarios experimentarán una caída o error que no se puede explotar maliciosamente cuando abran un archivo PDF que contenga contenido SWF (Flash). El authplay.dll que viene con Adobe Reader y Acrobat 9.x para Windows está normalmente ubicado en C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll para Adobe Reader o C:\Program Files\Adobe\Acrobat 9.0\Actobat\authplay.dll para Acrobat”

No sabemos qué tan peligrosa realmente es esta vulnerabilidad, pero hasta que salga el parche mejor andar con cuidado.

Link: Adobe warns that zero-day flaw in Flash and Acrobat being exploited in the wild (The Guardian)

En una interesante conferencia virtual con ejecutivos de Adobe de América Latina, usando Adobe Acrobat Connect Pro obviamente, nos enteramos que todavía no hay planes para una versión en español del nuevo y poderoso portal Acrobat.com que revisamos aquí.

Junto con anunciar la nueva versión de Acrobat 9 ahora con soporte Flash en el formato PDF, Adobe abrió al público su versión Beta del servicio centralizado en línea Acrobat.com.

Hace unos meses Adobe se aventuró con Photoshop Express, reconociendo así, una vez más, que el futuro está en la nube de Internet y no en el escritorio del usuario. Ahora, con Acrobat.com integra el elegante procesador de textos Buzzword, un convertidor de archivos PDF en línea y una herramienta de colaboración en tiempo real basado en la legendario Breeze desarrollado en los tiempos de Macromedia. El usuario podrá disfrutar de esto gratuitamente durante el período Beta con 5GB de almacenamiento incluido.

Pero el cerebro de esta operación radica en el nuevo Acrobat 9 que con su nuevo PDF Portfolio permitirá combinar documentos, video, audio y objetos 3D en un PDF comprimido. Estará a la venta en Julio desde US$299 para la versión básica.

Obviamente, y como Adobe no es una startup de la era Web 2.0, estamos conscientes que en un futuro muy cercano, van a ofrecer el servicio según el plan de negocios comprobado y más eficiente: cobrar por los servicios.

Link: Acrobat.com