Se trata de una falla de “día cero” que recién fue descubierta ahora y todas las plataformas (Windows, Mac OSX, Linux y Solaris) son vulnerables, afirmó Adobe. Se trata de algo alarmante considerando que casi todo el mundo tiene instalado alguno de los tres programas mencionados.

Las versiones afectadas son Adobe Flash Player 10.0.45.2, 9.0.262 y versiones 10.0.x y 9.0.x para Windows, Mac, Linux y Solaris; en el caso de Adobe Reader y Acrobat, las versiones 9.3.2 y anteriores 9.0.x para Windows, Mac y UNIX.

La compañía no ha entregado fechas para un parche que solucione esta falla. Adobe indicó, sin embargo, que Flash Player 10.1 Release Candidate “no parece ser vulnerable”, lo que ha llevado a algunos a descargar esta versión.

Para ver PDFs se puede optar por versiones anteriores (8.x) que no estarían afectadas, o bien elegir un programa alternativo.

La vulnerabilidad estaría radicada en el archivo authplay.dll, respecto al que Adobe recomienda:

borrar, renombrar o remover acceso al authplay.dll que viene con Adobe Reader y Acrobat 9.x mitiga la amenaza para esos productos, pero los usuarios experimentarán una caída o error que no se puede explotar maliciosamente cuando abran un archivo PDF que contenga contenido SWF (Flash). El authplay.dll que viene con Adobe Reader y Acrobat 9.x para Windows está normalmente ubicado en C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll para Adobe Reader o C:\Program Files\Adobe\Acrobat 9.0\Actobat\authplay.dll para Acrobat”

No sabemos qué tan peligrosa realmente es esta vulnerabilidad, pero hasta que salga el parche mejor andar con cuidado.

Link: Adobe warns that zero-day flaw in Flash and Acrobat being exploited in the wild (The Guardian)

El cliente de correo electrónico favorito de algunos ahora tiene soporte nativo para leer documentos en PDF. Gracias a esta mejora, ya no es necesario cargar el lerdo lector de Adobe para ver los archivos que te manden tus amigos. [link]