Ojo con Photoshop Elements8 : Adobe no solucionará problema existente de ejecución de código
Aunque ya no tiene soporte, se ha publicado una vulnerabilidad que
afecta a Photoshop Elements 8 y versiones inferiores. Descubierta por
Gjoko Krstic, permite ejecutar código arbitrario. El problema es que
fue descubierta mientras que la versión 8 era la última de la rama.
Photoshop Elements es el programa de diseño, edición y creación de
imágenes más usado en la actualidad. Es usado ampliamente en el retoque
fotográfico. La vulnerabilidad provoca un desbordamiento de memoria
intermedia cuando se procesan ficheros con formato .ABR (brushes) o .GRD
(gradients), lo que lleva a la ejecución de código en el equipo que abra
ficheros de este tipo. Se han dado todos los detalles técnicos del
fallo.
La vulnerabilidad fue reportada al fabricante el 9 de marzo de 2010,
cuando sólo se distribuía la versión 8 del software. No es hasta el 20
de septiembre de ese mismo año que Adobe crea la nueva versión 9. Esta
nueva versión no es vulnerable a este ataque, pero aún no aparece
ninguna solución para la versión anterior ni se hace público el fallo.
Casi un año después, el 30 de septiembre de 2011 se pública esta
vulnerabilidad identificada como APSA11-03 o CVE-2011-2443 que afecta
a la rama 8. Adobe alega que, al no estar ya soportada, no se va a
publicar un parche para esta vulnerabilidad y anima a los usuarios
a que actualicen las versiones 9 y 10, que no se ven afectadas.
Por lo que se deduce de la cronología desvelada ahora por su
descubridor, Adobe ignoró la vulnerabilidad en la versión 8 durante
unos seis meses, mientras preparaba la nueva versión 9 de su software
y la corregía sin informar a nadie. Ahora que el programa ya no tiene
soporte, hace públicos todos los detalles (coordinándose con el
descubridor) y anima a los usuarios a actualizarse (y por tanto,
a pasar por caja) para poder solucionarlo.
Adobe no las única que utiliza la seguridad como aliciente para que los
usuarios actualicen a versiones más modernas de sus programas, pero
parece irresponsable dejar pasar un año y medio desde que se descubre un
fallo para informar del potencial peligro que sufren los usuarios de esa
versión. En este caso, Adobe ha confiado en que el descubridor mantenga
pacientemente en secreto el problema, pero en tantos meses, se puede dar
la circunstancia de que sea descubierta por otros investigadores que
posean otras intenciones. Otro dato que resulta curioso es que, por
razones desconocidas, el descubridor esperó desde septiembre de 2009 a
marzo de 2010 para informar a Adobe de que había descubierto la
vulnerabilidad.
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.